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内 容 提 要 


本 书 结构 明晰 ， 示 例 丰 富 详实 ， 是 全 面 实 用 的 Docker 入 门 教程 。 作 者 全 面 介绍 了 Docker 
相关 各 种 工具 和 平台 ， 涵 盖 网 络 、 镜 像 管 理 、 配 置 以 及 包括 Kubernetes 和 Mesos 在 内 的 编排 和 
调度 生态 系统 ， 对 私有 云 和 公有 云 上 部 署 的 应 用 程序 都 给 出 了 丰富 实用 的 解决 方案 和 示例 。 

本 书 适 合 运 维 人 员 、 系 统管 理 员 和 开发 人 员 阅 读 。 
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本 书 赞誉 








开始 使 用 Docker 是 一 回 事 ， 真 正 领悟 它 的 思想 又 是 另 一 回 事 。 我 们 需要 对 Docker 有 一 个 
完整 深入 的 理解 。 在 为 用 户 提供 服务 的 应 用 程序 中 使 用 Docker 时 ， 这 本 书 为 我 们 带 来 了 
极 大 的 帮助 。 




















Arjan Eriks，Schuberg Philis 公司 云 计算 服务 主管 


这 是 一 部 完整 实用 的 教程 ， 涵 盖 了 与 Docker 相关 的 各 种 工具 和 平台 ， 并 提供 了 有 具体 和 实用 
的 例子 。 由 于 Docker 的 核心 功能 通过 开放 容器 计划 (Open Container Initiative) 的 努力 逐 
渐 成 为 事实 上 的 行业 标准 ， 我 们 可 以 预想 到 ， 这 个 生态 系统 还 会 继续 快速 扩张 。SeEbastien 
的 这 本 书 为 从 业者 打下 了 坚实 的 基础 ， 使 得 他 们 可 以 跟 上 这 种 快速 变化 的 步伐 。 


一 一 Chip Childers，Cloud Foundry 基金 会 技术 副 总 裁 











Sébastien 做 了 一 项 非常 棒 的 工作 ， 为 初级 用 户 集中 介绍 了 各 种 Docker 最 佳 实践 和 入 门 材 
料 ， 涵 盖 了 网 络 、 镜 像 管 理 、 配 置 以 及 包括 Kubernetes 和 Mesos/Marathon 在 内 的 正在 快速 
发 展 中 的 编排 和 调度 生态 系统 。 








Patrick Reilly，Kismatic 公司 CEO 
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写作 缘由 


我 已 经 在 云 计 算 领域 (主要 是 IaaS 层 ) 工作 了 10 余年 。Amazon AWS、Google GCE 和 
Microsoft Azure 提供 大 规模 的 云 计 算 服 务 已 经 有 几 年 了 ， 毫 不 夸张 地 说 ， 访 问 一 台 服 务 器 
从 未 像 现 在 这 样 方便 、 快 速 。 对 我 来 说 ， 甚 真正 的 价值 在 于 可 以 通过 API 来 访问 这 些 服 
务 。 我 们 现在 可 以 通过 编程 来 创建 基础 设施 和 部 署 应 用 。 这 些 可 编程 层 能 够 帮助 我 们 达到 
更 高 级 别 的 自动 化 ， 有 利于 企业 更 快 地 将 产品 推 向 市 场 ， 做 出 更 多 的 创新 ， 以 及 更 好 地 为 
用 户 服务 。 

然而 ， 尽 管 我 们 在 配置 管理 和 编排 上 耗费 了 大 量 的 精力 ， 但 是 对 于 在 一 个 分 布 式 环境 中 进 
行 应 用 程序 打包 、 配 置 和 服务 组 装 等 方面 依旧 没有 取得 太 大 的 进步 。 部 署 和 运行 一 个 可 扩 
展 、 可 容错 的 分 布 式 应 用 程序 仍然 是 比较 困难 的 。 

直到 我 试用 Docker 并 明白 了 它 为 我 们 带 来 的 可 能 性 之 后 ， 我 才 成 为 Docker 的 疯狂 粉丝 。 
Docker 为 Linux 容器 带 来 了 全 新 的 用 户 体验 。 它 不 是 要 提供 与 容器 相对 的 完全 虚拟 化 技 
术 ， 而 是 要 为 应 用 程序 的 打包 和 运行 提供 便利 。 一 旦 你 开始 使 用 Docker 并 享受 它 所 带 来 
的 全 新 体验 ， 就 会 同时 体会 到 另 一 个 好 处 : 你 会 开始 思考 如 何 进行 合成 和 聚 类 分 析 。 

容器 帮助 我 们 更 多 地 思考 如 何 进行 功能 隔 敲 ， 这 反 过 来 又 迫使 我 们 在 分 布 式 环境 中 对 应 用 
进行 解 而 ， 然 后 再 将 其 粘 合 在 一 起 。 


本 书 结构 


本 书 共 由 10 章 构成 。 每 章 都 基于 O’Reilly 标准 的 cookbook 格式 写成 ， 由 问题 、 解 决 方 
案 和 讨论 等 三 部 分 组 成 。 你 可 以 按照 顺序 从 前 往 后 阅读 ， 也 可 以 选择 特定 的 章节 / 范例。 
每 个 范例 都 是 互相 独立 的 ， 但 如 果 一 个 范例 引用 了 其 他 范例 的 概念 ， 书 中 也 会 提供 相应 的 
参考 引用 。 































































































Xiii 


第 1 章 主要 讨论 与 Docker 安装 相关 的 一 些 场景 ， 包 括 使 用 Docker Machine。 然 后 会 介 
绍 Docker 的 一 些 基本 命令 ,包括 对 容器 进行 管理 、 挂 载 数据 卷 、 链 接 容器 等 。 在 该 章 
最 后 ， 你 将 会 得 到 一 个 可 以 工作 的 Docker 主机 ， 启 动 一 些 容器 ， 还 会 对 容器 的 生命 周 
期 有 所 了 解 。 

第 2 章 将 会 介绍 Dockerfile 和 Docker Hub， 并 展示 如 何 构建 镜像 ， 以 及 对 镜像 进行 打 标 
签 和 提交 操作 。 该 章 还 将 介绍 如 何 运 行 自己 的 Docker registry， 并 设置 自动 构建 。 学 完 
该 章 ， 你 将 会 掌握 如 何 创 建 Docker 镜像 ， 通 过 公开 或 者 私有 的 方式 来 共享 镜像 ， 以 及 
构建 持续 交付 工作 流 。 
第 3 章 将 介绍 Docker 的 网 络 机 制 。 你 将 学 到 如 何 获得 一 个 容器 的 卫 地 址 ， 以 及 如 何 暴 
露 主 机 端口 上 的 容器 服务 。 你 还 将 学 会 如 何 把 多 个 容器 链接 起 来 ， 以 及 如 何 使 用 定制 的 
网 络 配置 。 该 章 也 会 通过 一 些 范例 来 对 容器 网 络 进行 深入 剖析 。 对 网 络 命名 空间 、 使 
用 OVS 网 桥 、GRE 隧道 等 概念 的 介绍 ， 也 将 为 了 解 Docker 容器 网 络 英 定 基础 。 最 后 ， 
你 还 将 了 解 更 高 级 的 网 络 配置 和 工具 ， 比 如 Weave、Flannel 以 及 目前 处 于 实验 阶段 的 
Docker Network 功能 。 

第 4 章 将 深入 介绍 如 何 对 Docker 守护 进程 进行 配置 ， 特 别 是 与 Docker API 相关 的 安 
全 设置 和 远程 访问 控制 。 该 章 也 讨论 了 一 些 基本 问题 ， 如 从 源 代 码 编译 Docker， 运 行 
Docker 的 测试 用 例 ， 以 及 运行 自己 编译 的 Docker 可 执行 程序 。 该 章 还 有 一 些 范 例 ， 对 
Linux 上 的 命名 空间 和 它们 在 容器 中 的 使 用 情况 进行 了 详细 阐述 。 

第 5 章 将 会 介绍 Google 新 开发 的 容器 管理 平台 。Kubernetes 提供 了 一 种 在 分 布 式 集群 
上 部 署 多 容器 应 用 程序 的 方式 。 此 外 ， 它 还 提供 了 一 种 自动 化 公开 服务 和 创建 容器 副 
本 的 方式 。 该 章 将 会 介绍 如 何在 自己 的 基础 设施 上 部 署 Kubernetes: 开始 是 使 用 本 地 
Vagrant 集群 ， 随 后 是 在 云端 启动 的 一 组 计算 机 上 。 之 后 ， 我 们 将 介绍 Kubernetes 的 核 
心 内 容 : pod、 service 和 replication controller。 

第 6 章 涵盖 了 四 种 新 的 经 过 优化 的 、 专 门 为 运行 容器 而 生 的 Linux 发 行 版 本 : CoreOS 
(https://coreos.com/)、 Project Atomic (http:/www.projectatomic.io/)、 Ubuntu Core (http:// 
































www.ubuntu.com/cloud/tools/snappy) 和 RancherOS (http:/rancher.comy/rancher-os/) 。 这 
些 新 的 发 行 版 本 刚好 为 Docker 容器 的 运行 和 编排 提供 了 够 用 的 操作 系统 。 该 章 的 范例 
包括 如 何 安装 和 访问 采用 了 这 些 发 行 版 本 的 服务 器 。 该 章 还 会 介绍 这 些 发 行 版 本 所 使 用 
的 对 容器 进行 编排 的 工具 ， 例 如 etcd、fleet 和 systemd。 

和 寺 勃 发 展 的 生态 系统 也 是 Docker 的 优势 之 一 。 第 7 章 将 会 介绍 过 去 18 个 月 中 出 现 的 
一 些 新 工具 。 这 些 工 具 用 于 帮助 Docker 进行 应 用 程序 部 署 、 持 续集 成 、 服 务 发 现 和 
排 。 举 个 例子 ， 你 会 读 到 关于 Docker Compose、Docker Swarm、Mesos、Rancher 和 
Weavescope 的 范例 。 
Docker 守护 进程 可 以 安装 在 本 地 开发 计算 机 上 。 然 而 ， 随 着 云 计 算 技术 的 出 现 ， 我 们 
可 以 按 需 创 建 服务 右 并 立时 使 用 。 毫 不 夸张 地 说 ， 大 量 基 于 容器 的 应 用 程序 将 会 被 部 
署 到 云 中 。 第 8 章 中 的 范例 将 会 介绍 如 何 访问 位 于 Amazon AWS (http://aws.amazon. 
com/)、Google GCE (https://cloud.google.com/compute/) 和 Microsoft Azure (http://azure. 
microsoft.com/en-us/) 之 上 的 Docker 主机 。 该 章 还 将 介绍 两 种 使 用 了 Docker 的 新 云 计 算 
服务 :AWS 弹性 容器 服务 (Elastic Container Service, ECS) 和 Google 容器 引擎 (Google 
Container Engine, https://cloud.google.com/container-engine/)。 
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第 9 章 将 会 探讨 容器 使 用 过 程 中 的 应 用 程序 监控 问题 。 长 久 以 来 ， 基 础 设施 和 应 用 程序 
的 监控 和 可 视 化 一 直 是 DevOps 社区 关注 的 重点 。 随 着 Docker 作为 一 种 开发 和 运 维 机 
制 变 得 越 来 越 普 及 ， 从 其 中 所 汲取 的 经 验 教训 也 需要 应 用 于 基于 容器 的 应 用 程序 。 

第 10 章 将 介绍 单 主机 和 集群 上 的 端 到 端 应 用 的 部 署 。 虽 然 前 面 几 章 中 已 经 介绍 了 一 些 
基本 的 应 用 程序 部 署 ， 但 这 一 章 将 要 介绍 的 范例 更 接近 于 生产 部 署 配置 。 该 章 内 容 更 深 
一 些 ， 也 将 促使 你 思考 今后 该 如 何 设计 更 复杂 的 微服 务 。 




















你 所 需要 了 解 的 技术 


这 是 一 本 中 等 难度 的 书 ， 要 求 读者 对 一 些 开 发 和 系统 管理 概念 有 最 基本 的 理解 。 在 深入 学 
习 本 书 之 前 ， 你 可 能 需要 了 解 以 下 内 容 。 





























bash (Unix shell) 

这 是 Linux 和 OS X 上 默认 的 Unix shell。 读 者 最 好 熟悉 Unix shell， 如 编辑 文件 、 设 置 
文件 权限 、 在 文件 系统 中 移动 文件 、 管 理 用 户 权限 ， 以 及 一 些 基 本 的 shell 编程 知识 。 
如 果 你 对 Linux shell 不 大 熟悉， 可 以 参考 一 下 Cameron Newham 的 Learning the Bash 
Shell[， 或 者 Carl Albing、JP Vossen 和 Cameron Newham 合 著 的 Bash Cookbook， 这 两 本 
书 也 都 是 由 OReilly 出 版 的 。 

软件 包 管 理 

本 书 中 的 工具 往往 需要 通过 安装 一 些 软件 包 来 满足 多 个 依赖 。 因 此 这 就 要 求 读 者 对 所 用 
计算 机 系统 上 的 软件 包 管 理 程序 有 所 了 解 。 这 可 能 是 Ubuntu/Debian 系统 上 的 apt， 或 
是 CentOS/RHEL 系统 上 的 yum， 又 或 是 OS X 上 的 port 或 者 brew。 不 管 你 使 用 的 是 什 
么 软件 包 管 理 器 ， 请 确保 你 知道 如 何 安 装 、 升 级 和 删除 软件 包 。 

Git 

Git 已 成 为 分 布 式 版 本 控制 领域 的 标准 。 如 果 你 已 经 熟悉 CVS 和 SVN， 但 还 没有 使 用 
过 Git， 那 你 真 应 该 开始 使 用 Git。Jon Loeliger 和 Matthew McCullough 合 著 的 《Git 版 
本 控制 管理 (第 2 版 )》 是 很 好 的 入 门 教材 。 如 果 你 想 使 用 Git， 还 想 托管 自己 的 代码 仓 
库 ， 那 么 GitHub 网 站 (http://github.com/) 是 一 个 很 好 的 资源 。 要 想 学 习 GitHub， 可 以 
访问 http://training.github.com 以 及 相关 的 交互 式 教程 http://try.github.io/)。 

Python 

除了 C/C++ 或 Java 编程 语言 ， 我 总 是 鼓励 学 生 选 择 一 门 脚本 语言 。Perl 曾经 统治 了 世 
界 ， 然 而 现 如 今 ，Ruby 和 Go 语言 则 更 加 普及 。 我 本 人 使 用 Python， 本 书 中 的 大 多 数 
例子 将 使 用 Python 来 编写 ， 但 也 有 几 个 例子 使 用 了 Ruby， 甚 至 还 有 一 个 例子 使 用 了 
Clojure。O’Reilly 出 版 了 很 多 Python 方面 的 图 书 ， 包 括 Bill Lubanovic 的 《Python 语言 
及 其 应 用 》'、Mark Lutz 的 《Python 编程 》， 以 及 David Beazley 和 Brian K. Jones 合 著 的 
《Python Cookbook 中 文 版 》。 




















































































































Vagrant 
Vagrant 已 经 成 为 DevOps 工程 师 建立 和 管理 虚拟 环境 的 优秀 工具 之 一 。 它 非常 适合 用 

















主 1: 此 书 已 由 人 民 邮 电 出 版 社 出 版 。 一 一 编者 注 























加 
了 
x 
< 


于 在 本 地 测试 和 快速 配置 虚拟 机 ， 但 我 们 也 可 以 使 用 一 些 插件 来 通过 Vagrant 连接 到 公 
共 云 提供 商 。 本 书 将 采用 Vagrant 来 快速 部 署 一 个 虚拟 机 实例 ， 使 其 像 Docker 主机 一 
样 运行 。 你 也 可 能 想 阅 读 一 下 由 Vagrant 的 开发 者 Mitchell Hashimoto 本 人 写 的 Vagrant: 
Up and Running 一 书 。 











。 Go 

Docker 采用 Go 语言 编写 。 在 过 去 的 几 年 里 ，Go 语言 已 成 为 许多 初创 公司 首选 的 新 
编程 语言 。 本 书 不 是 教 大 家 如 何 学 习 Go 编程 的 ， 而 是 会 介绍 如 何 编 译 一 些 Go 项 目 。 
我 希望 读者 至 少 知道 如 何 安 装 一 个 Go 工作 区 。 如 果 想 了 解 更 多 ，Introduction to Go 
Programming (http://shop.oreilly.com/product/0636920035305.do) 这 个 视频 培训 课程 是 一 
个 很 好 的 选择 。 


本 书 中 使 用 的 示例 代码 、Vagrantfile 和 其 他 脚本 都 可 以 从 GitHub 找到 (https://github.com/ 
how2dock/docbook)。 你 可 以 克隆 这 个 仓库 ， 进 入 相应 章节 和 范例 并 使 用 其 中 的 代码 。 比 
如 ， 下 面 的 代码 显示 了 如 何 通过 Vagrant 启动 一 台 Ubuntu 14.04 虚拟 机 并 在 其 中 安装 
Docker。 





























$ git clone https://github.com/how2dock/docbook.git 
$ cd dockbook/ch01/ubuntu14.04/ 
$ vagrant up 


这 个 仓库 中 的 示例 都 不 是 最 优 配置 ， 仅 足以 运行 范例 中 的 示例 。 


排版 约定 
本 书 使 用 了 下 列 排版 约定 。 
。 楷体 
表示 新 术语 。 
。 等 宽 字 体 (constant width) 
表示 程序 片段 ， 以 及 正文 中 出 现 的 变量 、 国 数 名 、 数 据 库 、 数 据 类 型 、 环 境 变量 、 语 名 
和 关键 字 等 。 
。 加 粗 等 宽 字 体 (constant width bold) 
表示 应 该 由 用 户 输入 的 命令 或 其 他 文本 。 
。 等 宽 斜 体 (constant width italic) 
表示 应 该 由 用 户 输入 的 值 或 根据 上 下 文 确定 的 值 替 换 的 文本 。 











该 图 标 表示 提示 或 建议 。 


该 图 标 表示 一 般 注 记 。 





该 图 标 表示 警告 或 警示 。 


Safari2 Books Online 


.aa 9afari Books Online (http:/www.safaribooksonline.com ) 是 应 运 而 

4 Safaf| 生 的 数字 图 书馆 。 它 同时 以 图 书 和 视频 的 形式 出 版 世界 顶级 技术 

和 商务 作家 的 专业 作品 。 技 术 专家 、 软 件 开发 人 员 、Web 设计 师 、 

商务 人 士 和 创意 专家 等 ， 在 开展 调研 、 解 决 问题 、 学 习 和 认证 培训 时 ， 都 将 Safari Books 
Online 视 作 获取 资料 的 首选 渠道 。 

对 于 组 织 团体 、 政 府 机 构 和 个 人 ，Safari Books Online 提供 各 种 产品 组 合 和 灵活 的 定 

价 策略 。 用 户 可 通过 一 个 功能 完备 的 数据 库 检 索 系 统 访问 O'Reilly Media、Prentice 

Hall Professional、Addison-Wesley Professional、Microsoft Press、Sams、Que、Peachpit 




















Press、Focal Press、Cisco Press、John Wiley & Sons、 Syngress、 Morgan Kaufmann、IBM 
Redbooks、 Packt、 Adobe Press、 FT Press、Apress、Manning、New Riders、McGraw-Hill、 
Jones 必 Bartlett、Course Technology 以 及 其 他 几 十 家 出 版 社 的 上 千 种 图 书 、 培 训 视 频 和 正 
式 出 版 之 前 的 书稿 。 要 了 解 Safari Books Online 的 更 多 信息 ， 我 们 网 上 见 。 


联系 我 们 


请 把 对 本 书 的 评价 和 问题 发 给 出 版 社 。 
美国 : 
O’Reilly Media, Inc. 
1005 Gravenstein Highway North 
Sebastopol, CA 95472 
中 国 : 


北京 市 西城 区 西直门 南大 街 2 号 成 馈 大 厦 C 座 807 室 (100035) 
奥 莱 利 技术 咨询 (北京 ) 有限 公司 



































O'Reilly 的 每 一 本 书 都 有 专属 网 页 ， 你 可 以 在 那儿 找到 本 书 的 相关 信息 ， 包 括 勘误 表 、 示 
例 代 码 以 及 其 他 信息 。 本 书 的 网 站 地 址 是 : 
http://shop.oreilly.com/product/0636920036791.do 
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第 1 章 


Docker 入 门 





1.0 简介 


入 门 Docker 很 简单 。Docker 的 核心 是 一 个 被 称 作 Docker 引擎 的 基于 单 主机 运行 的 守护 进 
程 ， 我 们 可 以 通过 这 个 守护 进程 来 创建 和 管理 容器 。 在 深入 使 用 Docker 之 前 ， 你 需要 先 
在 一 台 主 机 (比如 台式 机 、 笔 记 本 电脑 或 者 服务 器 ) 上 安装 Docker 引擎 。 

本 章 中 的 前 几 个 范例 将 会 介绍 在 服务 右上 运行 Docker 所 需 的 安装 步骤 。 官 方 文档 差不多 
涵盖 了 所 有 操作 系统 ， 这 里 我 们 会 对 Ubuntu 14.04 (参见 范例 1.1) 、CentOS 6.5 (参见 范例 
1.2) 和 CentOS 7 (参见 范例 1.3) 进行 介绍 。 如 果 你 想 使 用 Vagrant， 可 以 参见 范例 1.4。 


我 们 也 会 以 树 莓 派 为 例 来 介绍 如 何在 ARM CPU 上 安装 Docker (参见 范例 1.5)。 如 果 是 
Windows 或 者 OS X 系统 的 主机 ， 你 可 以 使 用 Docker Toolbox (参见 范例 1.6)。Docker 
Toolbox 除了 包括 Docker 引擎 之 外 ， 还 包括 其 他 一 些 实 用 工具 。Docker Toolbox 使 用 
VirtualBox 将 一 个 虚拟 机 作为 Docker 主机 和 运行， 这 个 虚拟 机 也 就 是 Boot2Docker。 现 
在 已 经 不 再 推荐 使 用 Boot2Docker 了 ， 不 过 我 们 还 是 会 在 范例 1.7 中 介绍 一 下 如 何 使 用 
Boot2Docker 安装 Docker。 


在 这 些 安装 范例 之 后 ， 我 们 会 介绍 一 下 docker-machine。 这 是 一 个 Docker 工具 ， 可 以 通过 
它 在 公有 云 上 创建 云 主机 并 安装 Docker， 自 动 配置 本 地 Docker 客户 端 来 使 用 远程 Docker 
主机 。 范 例 1.9 中 会 介绍 如 何在 DigitalOcean 云 中 使 用 docker-machine。 

一 旦 在 自己 的 环境 中 安装 好 了 Docker， 就 可 以 浏览 一 下 创建 和 管理 容器 所 需 的 基本 命令 。 
范例 1.11 将 会 展示 运行 容器 的 第 一 步 ， 范例 1.13 将 会 带 你 了 解 一 个 容器 的 标准 生命 周期 : 
创建 、 启 动 、 人 和 停止、 终止 和 移 除 。 





















































介绍 完 这 些 基本 概念 之 后 ， 我 们 将 会 直接 深 入 到 Dockerfile (参见 范例 1.14)。Dockerfile 
是 一 个 用 于 描述 如 何 构建 容器 镜像 的 文件 。 它 是 Docker 中 的 一 个 核心 概念 ， 第 2 章 会 详 
细 展 开 讨 论 ， 这 里 只 介绍 其 最 简单 的 用 法 。 我 们 通过 Dockerfile 来 学 习 一 个 更 为 复杂 的 例 
子 ， 即 运行 WordPress 服务 。 


首先 ， 我 们 会 从 头 开 始 构建 一 个 Docker 镜像 ， 在 单一 容器 中 运行 多 个 进程 〈 参 见 范例 
1.15) 。Docker 会 改变 我 们 的 应 用 程序 设计 思想 ， 不 再 将 所 有 一 切 打包 在 一 起 ， 而 是 创建 
多 个 独立 的 服务 ， 然 后 将 这 些 独 立 的 服务 连接 起 来 。 然 而 ， 这 并 不 意味 着 一 个 容器 中 不 能 
运行 多 个 服务 。 使 用 supervisord 可 以 在 一 个 容器 中 运行 多 个 服务 ， 范 例 1.15 将 会 讲述 如 
何 去 做 。 但 是 Docker 的 强大 之 处 在 于 通过 组 合 服务 来 运行 应 用 程序 。 因 此 ， 在 范例 1.16 
中 ， 我 们 会 介绍 如 何 将 单一 容器 示例 拆 分 为 两 个 容器 ， 并 使 用 容器 链接 进行 互 连 。 这 将 是 
你 的 第 一 个 分 布 式 应 用 程序 ， 尽 管 它 也 只 是 运行 在 同一 台 主 机 之 上 。 

我 们 在 本 章 介绍 的 最 后 一 个 概念 是 数据 管理 。 在 容器 中 访问 数据 是 一 个 关键 组 件 。 你 可 以 
通过 它 来 加 载 配 置 变量 或 数据 集 ， 或 在 容器 之 间 共 享 数据 。 我 们 将 再 次 使 用 WordPress 的 
例子 ， 告 诉 你 如 何 备份 数据 库 (参见 范例 1.17) ， 如 何 将 宿主 机 的 数据 挂 载 到 容器 中 ( 参 
见 范例 1.18) ， 以 及 如 何 创建 数据 容器 (参见 范例 1.19 ) 。 


总 之 ， 在 本 章 中 ， 你 将 会 快速 学 到 如 何在 一 台 主 机 上 安装 Docker 引擎 ， 并 运行 一 个 由 两 
个 容器 组 成 的 WordPress 网 站 。 


1.1 在 Ubuntu 14.04 上 安装 Docker 















































1.1.1 问题 


你 想 在 Ubuntu 14.04 上 运行 Docker。 


1.1.2 ”解决 方案 


在 Ubuntu 14.04 上 ， 可 以 通过 至 多 三 条 bash 命令 来 安装 Docker。Docker 项 目 推荐 的 安装 
方式 是 从 网 上 下 载 并 运行 一 个 bash 脚本 。 需 要 注意 的 是 ， 在 Ubuntu 的 软件 包 仓库 中 已 经 
有 一 个 docker 软件 包 ， 不 过 这 个 软件 与 Docker (http:Wwww.docker.com) 并 没有 任何 关系 。 
执行 推荐 的 安装 ， 如 下 所 示 。 

$ sudo apt-get update 


$ sudo apt-get install -y wget 
$ sudo wget -q0- https://get.docker.com/ | sh 


可 以 通过 查看 Docker 软件 的 版 本 来 确认 是 否 已 正确 安装 了 Docker， 如 下 所 示 。 


$ sudo docker --version 
Docker version 1.7.1, build 786b29d 


可 以 停止 、 启 动 和 重启 Docker 服务 。 比 如 ， 可 以 像 下 面 这 样 重启 Docker 服务 。 


$ sudo service docker restart 


























如 果 你 想 直 接 以 一 个 非 root 用 户 的 身份 来 运行 docker 命令 ， 可 以 将 该 用 户 
添加 到 docker 用 户 组 ， 如 下 所 示 。 








$ sudo gpasswd -a <user> docker 


退出 当前 shell 然后 重新 登录 ， 或 者 重新 启动 一 个 新 shell， 就 能 使 用 上 面 的 
配置 了 。 








1.1.3 讨论 
你 可 以 按照 https://get.docker.com 的 安装 脚本 ， 一 步 一 步 地 手动 安装 或 者 进行 自 定义 安装 。 
在 Ubuntu 14.04 (代号 trusty) 上 ， 最 精简 的 安装 步骤 如 下 所 示 。 

$ sudo apt-get update 

$ sudo apt-get instaLL -y linux-image-extra-$(uname -r) linux-image-extra-virtual 


$ sudo apt-key adv --keyserver hkp://p80.pool.sks-keyservers.net:80 
--recv-keys 58118E89F3A912897C070ADBF76221572C52609D 





$ sudo su 

# echo deb https://apt.dockerproject.org/repo ubuntu-trusty main > \ 
/etc/apt/sources.list.d/docker. list 

# apt-get -y install docker-engine 


1.1.4 参考 


。 如 果 你 想 在 其 他 操作 系统 上 安装 Docker， 请 参考 官方 的 安装 文档 (https://docs.docker. 
com/docker/installation/) 。 


1.2 在 CentOS 6.5 上 安装 Docker 




















1.2.1 问题 
尔 想 在 CentOS 6.5 上 安装 Docker。 


1.2.2 ”解决 方案 


在 CentOS 6.5 上 ， 可 以 通过 添加 EPEL (Extra Packages for Enterprise Linux) 仓库 使 用 
docker-io 包 安 装 Docker， 如 下 所 示 。 








$ sudo yum -y update 

sudo yum -y install epel-release 
sudo yum -y install docker-io 
sudo service docker start 

sudo chkconfig docker on 


$ 
$ 
$ 
$ 


在 CentOS 6.5 上 ，Docker 的 版 本 应 该 是 1.6.2， 如 下 所 示 。 


# docker --version 
Docker version 1.6.2, build 7c8fca2/1.6.2 
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1.2.3 ”讨论 


Docker 将 不 会 继续 提供 对 CentOS 6x 的 支持 。 如 果 你 想 使 用 最 新 版 Docker， 那 么 应 该 选 
择 CentOS 7 (参见 范例 1.3 ) 。 


1.3 在 CentOS 7 上 安装 Docker 





1.3.1 问题 
你 想 在 CentOS 7 上 使 用 Docker。 


1.3.2 ”解决 方案 


通过 yum 管理 器 安装 Docker 软件 包 。CentOS 采用 了 systemd， 因 此 你 需要 使 用 systemctl 
命令 来 管理 docker 服务 ， 如 下 所 示 。 


$ sudo yum update 
$ sudo yum -y install docker 
$ sudo systemctl start docker 


也 可 以 使 用 Docker 官方 的 安装 脚本 来 安装 ， 这 也 会 使 用 Docker 仓库 中 的 软件 包 ， 如 下 所 示 。 


$ sudo yum update 
$ sudo curl -sSL https://get.docker.com/ | sh 


1.4 ”使 用 Vagrant 创 建 本 地 Docker 主 机 


1.4.1 问题 


你 的 本 地 计算 机 的 操作 系统 和 你 想 要 运行 Docker 的 操作 系统 不 同 。 比 如 ， 你 现在 运行 的 
是 OS 义 , 但 是 你 想 在 Ubuntu 上 运行 Docker。 


1.4.2 ”解决 方案 


在 本 地 通过 Vagrant (http://vagrantup.com) 启动 一 个 虚拟 机 (virtual machine，VM)， 并 使 
用 Vagrantfile 中 的 shell 配置 程序 初始 化 VM。 


如 果 已 经 安装 了 VirtualBox (http://virtualbox.org) 和 Vagrant (http:/vagrantup.com) ， 那 么 
你 只 需要 创建 一 个 名 为 Vagrantfile 的 文本 文件 ， 其 内 容 如 下 所 示 。 


VAGRANTFILE_API_VERSION = "2" 





























T 























$bootstrap=<<SCRIPT 

apt-get update 

apt-get -y install wget 

wget -q0- https://get.docker.com/ | sh 
gpasswd -a vagrant docker 
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service docker restart 
SCRIPT 


Vagrant.configure(VAGRANTFILE_API_VERSION) do |config| 
config.vm.box = "Ubuntu/trusty64" 


config.vm.network "private_network", ip: "192.168.33.10" 


config.vm.provider "virtualbox" do |vb| 
vb.customize ["modifyvm", :id, "--memory", "1024"] 
end 


config.vm.provision :shell, inline: $bootstrap 


end 


之 后 就 可 以 启动 虚拟 机 了 。Vagrant 将 会 从 Vagrant cloud [http://vagrantcloud.com， 现 在 是 Atlas 
(https://atlas.hashicorp.com) 的 一 部 分 ] 下载 ubuntu/trusty64 镜像 (box)， 通 过 VirtualBox 创建 
该 镜像 的 一 个 实例 ， 再 运行 在 Vagrantfile 中 定义 的 初始 化 脚本 。 这 个 虚拟 机 实例 将 会 有 1GB 
的 内 存 和 两 个 网 络 接口 : 一 个 用 于 与 外 部 网 络 进行 通信 的 网 络 地 址 转换 (Network Address 
Translation，NAT) 接口 ， 一 个 本 地 网 络 接口 192.168.33.10。 虚 拟 机 启动 后 ， 就 可 以 通过 
ssh 来 登录 到 虚拟 机 并 使 用 Docker。 

$ vagrant up 

$ vagrant ssh 


vagrant@vagrant-ubuntu-trusty-64:~$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 




















在 上 面 的 Vagrant 配置 中 ，vagrant 用 户 被 添加 到 了 Docker 用 户 组 。 这 样 一 
来 ， 即 使 你 不 是 root 用 户 ， 也 能 运行 Docker 命令 。 你 可 以 在 how2doc 仓库 
(https://github.com/how2dock/docbook.git) 的 ch01 文件 夹 中 找到 上 面 的 脚本 。 








1.4.3 讨论 
如 果 从 未 使 用 过 Vagrant， 你 需要 先 安装 它 。Vagrant 官方 下 载 页 面 (https://www.vagrantup. 
com/downloads) 上 列 出 了 主流 的 安装 包 类 型 。 比 如 对 于 基于 Debian 的 系统 ， 可 以 选择 下 
载 .deb 包 ， 并 像 下 面 这 样 安装 。 

$ wget https://dl.bintray.com/mitchellh/vagrant/vagrant_1.7.4_x86_64.deb 

$ sudo dpkg -i vagrant_1.7.4_x86_64.deb 


$ sudo vagrant --version 
Vagrant 1.7.4 
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1.5 在 树 莓 派 上 安装 Docker 


1.5.1 问题 


假定 你 在 公司 大 量 使 用 树 莓 派 (https://www.raspberrypi.org)， 或 者 作为 个 人 兴趣 在 业余 时 
间 喜 欢 自 己 钻研 一 下 。 不 管 是 哪 种 情况 ， 你 都 想 知 道 如 何在 自己 的 树 莓 派 上 安装 Docker。 


1.5.2 ”解决 方案 

你 可 以 从 Hypriot (http://blog.hypriot.com) 下 载 预 配置 好 的 SD 卡 镜像 。 你 需要 按照 下 面 
的 步 又 来 操作 。 

(1) 下 载 SD 卡 镜像 (http://blog.hypriot.com/downloads)。 

(2) 将 镜像 写 入 SD 卡 。 

(3) 将 SD 卡 插 入 树 获 派 并 启动 。 

(4) 登录 到 树 莓 派 ， 开 始 使 用 Docker。 


5 讨论 
比如 在 一 台 0OS X 主 机 上 ， 你 可 以 按照 Hypriot 的 指南 (http://blog.hypriot.com/getting- 
started-with-docker-and-mac-on-the-raspberry-pi/) 来 操作 。 
下 载 并 解压 SD 镜像 ， 如 下 所 示 。 

$ curl -sOL http://downloads.hypriot.com/hypriot-rpi-20150416-201537.img.zip 

$ unzip hypriot-rpi-20150416-201537.img.zip 
然后 将 SD 卡 插 入 到 主机 上 的 读 卡 器 中 ， 查 看 所 有 可 用 磁盘 ， 找 到 哪个 是 你 所 使 用 的 SD 
卡 。 之 后 你 需要 凶 载 这 个 磁盘 ， 并 使 用 dd 命令 将 镜像 复制 到 这 张 SD 卡 上 。 这 里 我 们 假定 
SD 卡 设 备 名 为 disk1。 


$ diskutil list 























$ diskutil unmountdisk /dev/disk1 

$ sudo dd if=hypriot-rpi-20150416-201537.img of=/dev/rdisk1 bs=1m 

$ diskutil unmountdisk /dev/disk1 
将 镜像 复制 到 SD 卡 之 后 ， 对 SD 卡 执 行 弹 出 操作 ， 将 SD 卡 从 读 卡 器 中 移 除 ， 然 后 插入 到 
树 莓 派 中 。 你 需要 知道 树 莓 派 的 卫 地 址 ， 这 样 就 可 以 通过 ssh 使 用 密码 hypriot 登录 到 树 
莓 派 了 ， 如 下 所 示 。 


$ ssh root@<IP_OF_RPI> 


Hypriot0S: root@black-pearl in ~ 


$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
Hypriot0S: root@black-pearl in ~ 

$ uname -a 





Linux black-pearl 3.18.11-hypriotos-v7+ #2 SMP PREEMPT Sun Apr 12 16:34:20 UTC \ 
2015 armv7L GNU/Linux 
Hypriot0S: root@black-pearl in ~ 


你 已 经 拥有 了 一 个 可 以 在 ARM 系统 上 运行 的 Docker 了 。 


因为 容器 会 使 用 Docker 主机 的 内 核 ， 所 以 你 需要 拉 取 为 基于 ARM 的 架构 准备 的 镜像 。 访 
问 Docker Hub 可 以 查找 为 基于 ARM 的 系统 准备 的 镜像 ， 选 择 一 个 Hyperiot 提供 的 镜像 是 
不 错 的 开始 。 


1.5.4 参考 


。 在 Windows 上 为 树 莓 派 安 装 Docker 的 指令 (http://blog.hypriot.com/getting-started-with- 
docker-and-windows-on-the-raspberry-pi/) 

。 在 Linux 上 为 树 莓 派 安 装 Docker 的 指令 (http://blog.hypriot.com/getting-started-with- 
docker-and-linux-on-the-raspberry-pi/) 


1.6 在 OS X 上 通过 Docker Toolbox 安 装 Docker 


























1.6.1 问题 
Docker 守护 进程 并 不 支持 OS X 系统 ， 但 是 你 想 在 OS X 上 使 用 Docker。 


1.6.2 ”解决 方案 


可 以 使 用 Docker Toolbox (https:Whttps:Wwww.docker.comytoolbox)， 这 是 一 个 包含 了 
Docker 客 户 端 、Docker Machine、Docker Compose、Docker Kitematic 和 VirtualBox 的 安 
装 包 。Docker Toolbox 人 允许 你 在 VirtualBox 中 启动 一 个 运行 着 Docker 守护 进程 的 微型 虚 
拟 机 。 安 装 到 你 的 OS X 操作 系统 上 的 Docker 客户 端 也 会 被 配置 为 连接 到 这 个 虚拟 机 中 的 
Docker 守护 进程 。 安 装 Docker Toolbox 的 同时 也 会 安装 Docker Machine (参见 范例 1.9)、 
Docker Compose (参见 范例 7.1) 和 Kitematic (参见 范例 7.5) 。 


你 可 以 从 Docker Toolbox 的 下 载 页 面 (https://https://www.docker.com/toolbox) 下 载 它 的 安 
装 包 。 下 载 完 成 之 后 (参见 图 1-1)， 打 开 安 装 文件 并 按照 提示 步骤 进行 安装 即 可 。 安 装 完 
成 之 后 ，finder 应 用 会 自动 打开 ， 你 将 会 看 到 一 个 指向 Docker quickstart terminal 的 链接 。 
单 击 这 个 链接 会 打开 一 个 终端 ， 同 时 会 自动 在 VirtualBox 中 启动 一 个 虚拟 机 。Docker 客户 
端 也 会 自动 被 配置 为 连接 到 在 这 个 虚拟 机 中 运行 的 Docker 守护 进程 。 
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| 时 日 晶 请 Install Docker Toolbox 品 





Welcome to the Docker Toolbox Installer 


a Docker Toolbox for Mac OS X 
Destination Select This installer guides you through an installation of Docker Toolbox for 
Mac OS X v1.8.1. 


Installation Type 


Installation The Docker Toolbox installer includes the following: 


Docker Client docker binary 

Docker Machine docker-machine binary 
Docker Compose docker-compose binary 
Kitematic - Desktop GUI for Docker 

Docker Quickstart Terminal app 


Summary 


By default, these are installed in your /usr/local /bin directory. 


To continue, click Continue. 


Continue 











1-1: 在 OSX 上 的 Docker Toolbox 


Toolbox 终端 显示 Docker 客户 端 被 配置 为 使 用 默认 虚拟 机 。 可 以 像 下 面 这 样 试 用 一 些 


docker 命令 。 


办 # 
## ## ## == 
## ## ## ## ## === 
SN {~~ ey / ===- ~~~ 
i = 
_/ 
人 


docker is configured to use the default machine with IP 192.168.99.100 
For help getting started, check out the docs at https://docs.docker.com 


bash-4.3$ docker ps 


CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
bash-4.3$ docker images 

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 

bash-4.3$ docker 

docker docker-compose docker-machine 


可 以 看 到 ， 现 在 你 也 可 以 使 用 docker-machine 和 docker-compose 二 进 制 文件 了 。 








6.3 启 丫 

Docker Toolbox 是 从 Docker 1.8 开始 提供 的 ， 并 且 在 OS X 和 Windows 主机 上 ， 你 也 应 该 
使 用 它 作 为 默认 的 安装 方式 。 在 Docker Toolbox 之 前 的 版 本 中 ， 你 可 以 使 用 Boot2Docker 
(参见 范例 1.7 和 范例 1.8) 。 虽 然 本 书 中 也 为 Boot2Docker 准备 了 一 些 范例 ， 但 是 你 还 是 应 
该 优先 使 用 Docker Toolbox。 实 际 上 ，Boot2Docker 仍然 用 在 Toolbox 中 。 你 可 以 像 下 面 这 
样 通过 docker-machine ssh 登录 到 VM 来 确认 这 一 点 。 











bash-4.3$ docker-machine ssh default 


## : 
## ## ## == 
办 # ### ## ## ## === 
i {~~ pasa bend iy. wan, “Re / ===- ~~~ 
Uae = 
上 人 到 
Eee 


| | 


| 
| 

pb Ce Ed hl ty Gl 本 

| 4 0 tk a RE | | a he | | 

Boot2Docker version 1.8.1, build master : 7f12e95 - Thu Aug 13 03:24:56 UTC 2015 


Docker version 1.8.1, build d12ea79 


1.7 在 OS X 上 通过 Boot2Docker 安 装 Docker 


1.7.1 问题 
Docker 守护 进程 并 不 支持 OS X 系统 ， 但 是 你 想 在 OS X 上 无 颖 地 使 用 Docker。 


1.7.2 解决 方案 


使 用 轻 量 Linux 发 行 版 Boot2Docker (http://boot2docker.io)。Boot2Docker 基于 微 内 核 
Linux， 并 且 为 运行 Docker 进行 了 专门 配置 。 安 装 完 之 后 ， 你 会 得 到 一 个 boot2docker 命 
令 。 你 将 会 使 用 这 个 命令 来 与 通过 VirtualBox 启动 的 虚拟 机 进行 交互 ， 这 个 虚拟 机 将 会 作 
为 Docker 主机 。 运 行 于 OS X 之 上 的 Docker 客户 端 和 Docker 守护 进程 不 一 样 ， 需 要 在 本 
地 的 OS X 上 进行 安装 。 

让 我 们 这 就 开始 下 载 并 安装 Boot2Docker。 打 开 Boot2Docker 网 站 (http://boot2docker.io) 
将 会 看 到 一 些 下 载 链 接 。 从 它 的 发 布 页 面 中 (https://github.com/boot2docker/osx-installer/ 
releases) 选择 最 新 的 版 本 下 载 。 下 载 完 成 之 后 ， 打 开 安 装 文 件 ， 如 图 1-2 所 示 。 
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Welcome to the Boot2Docker for Mac OS X Installer 


Boot2Docker for Mac OS X 


This installer will guide you through the steps to install Boot2Docker for 
Mac OS X v1.3.2. 












@ Introduction 
® Destination Select 


® Installation Type 


The docker and boot2docker binaries will be installed to /usr/ 
local /bin, and can then be run from your Terminal. 

For further information, please see the Docker OS X installation 
documentation. 


® Installation 


® Summary 


To continue, click Continue. 








EE 








图 1-2，Boot2Docker 安装 向 导 


安装 完成 后 (参见 图 1-3)， 你 就 可 以 开始 使 用 Boot2Docker 了 。 





EOLA 六 Install Boot2Docker for Mac OS X a 





The installation was completed successfully. 





@ ntroduction 。 Quick-start; Run Boot2Docker (located in Applications), which 
© Destination Select will open a terminal window. Then, start a test container with: 
docker run hello-world 

© Installation Type 


8 Installation * Tosave and share container images, automate workflows, and 
account. 
@ Summary more sign-up for a free Docker Hub nt, 







* Youcan upgrade your existing Boot2Docker VM without data 


loss by running: 
) boot 2docker upgrade 


Edocker and boot2docker binaries are in /usr/local/ 
4 bin which you can access from your terminal, 
For further information, please see the Docker OS X installation 
documentation,. 












EI 











图 1-3: Boot2Docker 安装 完 旨 


终端 窗口 中 ， 在 出 现 提示 时 键入 boot2docker， 此 时 应 该 能 看 到 这 个 命令 的 用 法 选项 。 也 
可 以 查看 所 安装 的 Boot2Docker 版 本 号 ， 如 下 所 示 。 
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$ boot2docker 

Usage: boot2docker [<options>] {help|init|upl|ssh|save|down|poweroff|reset| 
restart|config|status|infolip|shellinit|deletel| 
download|upgrade|version} [<args>] 

$ boot2docker version 

Boot2Docker-cli version: v1.3.2 

Git commit: e41a9ae 


在 安装 完 Boot2Docker 之后， 第 一 步 是 需要 对 它 进行 初始 化 。 如 果 还 没有 下 载 
Boot2Docker 的 ISO 镜像 ， 那 么 这 一 步 将 会 下 载 这 个 镜像 并 在 VirtualBox 中 创建 一 个 虚拟 
机 ， 如 下 所 示 。 


$ boot2docker init 
Latest release for boot2docker/boot2docker is v1.3.2 
Downloading boot2docker ISO image... 
Success: 
downloaded https://github.com/boot2docker/boot2docker/releases/download/\ 
v1.3.2/boot2docker .iso 
to /Users/sebgoa/.boot2docker/boot2docker .iso 


可 以 看 到 ，ISO 镜像 被 保存 到 了 用 户主 文件 夹 下 的 .boot2docker/boot2docker.iso 文件 夹 中 。 如 
果 打 开 VirtualBox 界面 ， 将 会 看 到 boot2docker 这 个 虚拟 主机 处 于 关机 状态 (参见 图 1-4 )。 














Oracle VM VirtualBox Manager 


汶 党 他 FE 加 Snapshots 


New Settings Start Discard 


[器 boot2docker-vm 辐 General 加 Preview 


Powered 
@ Us Name: boot2docker-vm 


Operating System: Linux 2.6 / 3.x (64 
bit) 


国 .System boot2docker-vm 

Base Memory: 2048 MB 

Processors: 4 

Boot Order: CD/DVD, CD/DVD, Hard 
Disk 

Acceleration: VT-x/AMD-V, Nested 
Paging, PAE/NX 








回 Display 

Video Memory: 8 MB 
Remote Desktop Server: Disabled 
Video Capture: Disabled 


Storage 


Controller: SATA 
SATA Port 0: [CD/DVD] boot2docker.iso (23.00 MB) 
SATA Port 1: boot2docker-vm.vmdk (Normal, 19.53 GB) 


也 Audio 
Disabled 
男 Network 


Adapter 1: Paravirtualized Network (NAT) 
Adapter 2: Paravirtualized Network (Host-only Adapter 'vboxnet0') 


DD usB 
Disabled 
回 Shared folders 
Shared Folders: 1 


易 Description 


None 














1-4: boot2docker VirualBox 虚拟 机 
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你 并 不 需要 保持 VirtualBox 界面 为 打开 状态 ， 上 面 的 截图 只 是 为 了 方便 说 
i 云 行 ， 使 用 VBoxManage 命令 对 boot2docker 虚拟 


机 进行 管理 。 





你 现在 已 经 可 以 使 用 Boot2Docker 了 。 ee 会 启动 这 个 虚拟 机 ， 然 后 返回 一 些 操 
作 指 令 ， 你 可 以 按照 这 些 指 令 对 环境 变 行 设置 ， 以 正确 地 连接 到 虚拟 机 中 的 Docker 
守护 进程 。 


$ boot2docker start 

Waiting for VM and Docker daemon to start... 

Oe di 000000000000000000000 

Started. 

Writing /Users/sebgoa/ .boot2docker/certs/boot2docker-vm/ca.pem 
Writing /Users/sebgoa/ .boot2docker/certs/boot2docker-vm/cert.pem 
Writing /Users/sebgoa/ .boot2docker/certs/boot2docker-vm/key.pem 











To connect the Docker client to the Docker daemon, please set: 
export DOCKER_CERT_PATH=/Users/sebgoa/ .boot2docker/certs/boot2docker-vm 
export DOCKER_TLS_VERIFY=1 
export DOCKER_HOST=tcp://192.168.59.103:2376 


虽然 我 们 可 以 自己 手动 来 设置 这 些 环境 变量 ， 但 是 Boot2Docker 提供 了 一 个 方便 的 命令 : 
sheLLinit。 可 以 使 用 该 命令 设置 连接 到 et 守护 进程 所 需要 的 传输 层 安 全 (Transport 
Layer Security，TLS) 信息 ， 之 后 就 可 以 在 本 地 OS X 计算 机 上 访问 虚拟 机 中 的 Docker 主 
机 了 ， 如 下 所 示 。 


$ $(boot2docker shellinit) 

Writing /Users/sebgoa/.boot2docker/certs/boot2docker-vm/ca.pem 

Writing /Users/sebgoa/.boot2docker/certs/boot2docker-vm/cert.pem 
Writing /Users/sebgoa/.boot2docker/certs/boot2docker-vm/key .pem 

$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 


























1.7.3 讨论 
当 有 新 版 本 的 Boot2Docker 可 用 时 ， 你 非常 容易 就 能 升级 。 只 需要 使 用 download 命令 下 载 
最 新 的 Boot2Docker 安装 包 和 新 的 ISO 镜像 就 可 以 了 。 


请 确保 通过 $ boot2docker stop 命令 停止 boot2docker 虚拟 机 之 后 ， 再 运行 
安装 脚本 : 
$ boot2docker stop 


$ boot2docker upgrade 
$ boot2docker start 











1.8 在 Windows 8.1 台 式 机 上 运行 Boot2Docker 


1.8.1 问题 


你 有 一 台 安 装 了 Windows 8.1 的 台式 机 ， 你 想 在 这 台 计 算 机 上 使 用 Boot2Docker 来 测试 一 
下 Docker。 


1.8.2 ”解决 方案 


使 用 Boot2Docker 的 Windows 安装 程序 (https://github.com/boot2docker/windows-installer/ 
Teleases/tag/v1.8.0) ， 参 见 图 1-5。 


下 载 完 最 新 版 本 的 Windows 安装 程序 (一 个 .exe 二 进 制 文件 ) 之 后 ， 通 过 命令 提示 符 或 
者 资源 管理 器 (参见 图 1-5) 运行 这 个 安装 程序 。 这 将 会 自动 安装 VirtualBox、MSysGit 
和 Boot2Docker 的 ISO 镜像 。 要 想 在 Windows 主机 上 使 用 ssk-keygen 二 进 制 文件 ， 需 要 
MSysGit 这 个 软件 。 按 照 安装 向 导 的 提示 进行 安装 ， 在 此 过 程 中 ， 你 需要 同意 一 些 来 自 
Oracle 关于 VirtualBox 的 许可 证 信息 。 这 个 安装 程序 会 在 桌面 上 创建 VirtualBox 和 启动 
Boot2Docker 的 快捷 方式 。 













































































Command Prompt 汪 


:\Users\sehgoa\Downloads>docker—-install.exe 


:\Users\sehgoa\Downloads> 


Setup - Boot2Docker for Windows 


Welcome to the Boot2Docker for 
Windows Setup Wizard 


This will install Boot2Docker for Windows version 1.5.0 on your 
computer. 


Itis recommended that you dose all other applications before 
continuing. 


Click Next to continue, or Cancel to exit Setup. 














Boot2Dodker for Windows installation documentation 




















1-5: Boot2Docker Windows 8.1 安装 程序 


TT 








当 安 装 完成 之 后 ， 双 击 Boot2Docker 的 快捷 方式 ， 就 可 以 在 VirtualBox 中 启动 虚拟 机 ， 关 
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打开 一 个 命令 提示 符 (参见 图 1-6)。 这 时 就 可 以 开始 在 Windows 主机 中 使 用 Docker 了 。 








4 Boot2Docker Start - 0 匡 到 


92.168.59.183 
onnecting... 
并 井 
扶持 失 扑 失 扯 
并 提 站 提 挂失 扑 扯 


- 


Wa \ 六 县 * Ww 让 
lBBoot2Docker version 1.5.8,. build master : ab6hce5 - Tue Feb 19 23:31:27? UTC 2915 


5.80, build a8a31lef 
Cc ¥ 


COMMAND CREATED 
ATUS NAMES 
ockerB@hoot2docker:"$ 














1-6: Boot2Docker Windows 8.1 命令 


1.8.3 ”讨论 


Docker Machine (参见 范例 1.9) 也 自 带 了 一 个 Hyper-V 驱动 程序 。 如 果 你 的 计算 机 上 已 安 
装 Hyper-V， 那 么 也 可 以 通过 Docker Machine 来 启动 Boot2Docker 实例 。 


1.8.4 参考 


。 关于 如 何在 Windows 上 使 用 Boot2Docker 的 Docker 官方 文档 (https://docs.docker.com/ 
installation/windows/) 


1.9 ”使 用 Docker Machine 在 云 中 创建 Docker 主 机 


1.9.1 问题 


你 不 想 在 本 地 通过 Vagrant 来 安装 Docker 守护 进程 (参见 范例 1.4)， 也 不 想 使 用 
Boot2Docker (参见 范例 1.7)。 事 实 上 ， 你 想 在 云 上 使 用 Docker 主 机 (比如 AWS.、 
DigitalOcean、Azure 或 Google Compute Engine) ， 并 从 本 地 Docker 客户 端 无 颖 地 连接 到 云 
上 的 Docker 主机 。 


1.9.2 ”解决 方案 


使 用 Docker Machine 在 你 选择 的 公有 云 上 启动 一 个 云 主 机 实例 。Docker Machine 是 一 个 在 
本 地 主机 上 运行 的 客户 端 工具 ， 你 可 以 使 用 这 个 工具 在 远 端 的 公有 云 中 启动 一 台 服 务 器 ， 
并 像 使 用 本 地 Docker 主机 一 样 来 使 用 远程 Docker 主机 。Machine 将 会 自动 安装 Docker 并 
配置 使 用 TLS 进行 安全 传输 。 这 之 后 就 可 以 将 远程 的 云 主机 实例 作为 Docker 主机 ， 从 本 
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地 Docker 客户 端 进行 操作 。 可 以 参考 第 8 章 ， 那 里 有 更 多 专门 为 在 云 中 使 用 Docker 而 准 
备 的 范例 。 


Docker Machine 的 beta 版 是 在 2015 年 2 月 26 日 发 布 的 (http://blog.docker. 
com/2015/02/announcing-docker-machine-beta/) ， 官 方 文档 (https://docs.docker. 
com/machine/) 可 以 在 Docker 的 网 站 上 看 到 。 它 的 源 代码 也 在 GitHub 上 
(https://github.com/docker/machine ) 。 








让 我 们 这 就 开始 吧 。Machine 现在 支持 VirtualBox、DigitalOcean (https://www.digitalocean. 
com)、Amazon Web Services (https://aws.amazon.com)、 Azure (https://azure.microsoft. 
com)、Google Compute Engine (GCE，http://cloud.google.com) 以 及 其 他 一 些 云 服务 提 
供 商 。 也 有 一 些 驱 动 程序 正在 开发 或 审查 中 ， 你 可 以 从 这 里 (https://github.com/docker/ 
machine/pulls) 查看 详细 情况 ， 我 们 可 以 期 待 很 快 会 有 更 多 的 驱动 程序 出 现 。 本 范例 将 
使 用 DigitalOcean， 如 果 你 也 想 一 步 一 步 跟 着 操作 ， 需 要 先 到 DigitalOcean (https://cloud. 
digitalocean.com/registrations/new) 注册 一 个 账号 。 


账号 注册 完成 之 后 ， 先 不 要 通过 DigitalOcean 的 界面 来 创建 云 主机 (droplet)。 取 而 代 之 的 
是 ,创建 一 个 API 访问 令 牌 ， 以 供 Docker Machine 使 用 。 这 个 令 牌 是 一 个 同时 具备 read 和 
write 权限 的 令 牌 ， 这样 Machine 才能 上 传 SSH 公 钥 (图 1-7)。 之 后 ， 在 本 地 电脑 的 命令 行 
中 设置 一 个 名 为 DIGITALOCEAN_ACCESS_TOKEN 的 环境 变量 ， 其 值 即 为 刚才 创建 的 令 牌 的 内 容 。 


























Machine 会 将 SSH 公 钥 上 传 到 你 的 云 账 号 上 。 请 确认 你 的 访问 令 牌 或 API 密 
钥 具 有 创建 公 钥 的 必要 权限 。 








Personal Access Tokens 人 
Tokens you have generated to access the DigitalOcean API 


Docker machine write read, write EDIT DELETE 


0 Personal access tokens function like a combined name and password for API authentication 











1-7: DigitalOcean 为 Machine 准备 的 访问 令 牌 


一 切 准 备 就 络 。 你 现在 需要 去 下 载 docker-machine 二 进 制 文件 。 打开 Docker Machine 文 
档 网 站 (https:/docs.docker.com/machine/) ， 并 选择 与 本 地 主机 架构 一 致 的 二 进 制 文 件 。 比 
如 ， 在 OS X 上 像 下 面 这 样 操作 。 


$ curl -SOL https://github.com/docker/machine/releases/download/v0.3.0/ \ 
docker-machine_darwin-amd64 
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$ mv docker-machine_darwin-amd64 docker-machine 
$ chmod +x docker-machine 

$ ./docker-machine --version 

docker-machine version 0.3.0 


由 于 已 经 设置 了 DIGITALOCEAN_ACCESS_TOKEN 环境 变量 ， 现 在 就 可 以 创建 远程 Docker 主机 
了 ， 如 下 所 示 。 


5 ./docker-machine create -d digitalocean foobar 

Creating SSH key... 

Creating Digital Ocean droplet... 

To see how to connect Docker to this machine, run: docker-machine env foobar 


回 到 DigitalOcean 的 控制 面板 ， 你 将 会 看 到 一 个 新 创建 的 SSH 密 钥 ,以 及 一 个 新 创建 的 云 
主机 (参见 图 1-8 和 图 1-9)。 


A.. 2 


docker-host-1d20d5e6b0ab42b0ac5c1d65c... © © 

















1-8: DigitalOcean 上 由 Machine 生成 的 SSH 密 钥 


Image Name IP Address Status Memory Disk Region 





人 @ docker-host-96a1281b6b... 104.236.95.54 Active 512MB 20GB nyc3 











1-9: 由 Machine 创建 的 DigitalOcean 云 主机 


ae Docker 客户 端 配置 为 使 用 这 台 远 程 Docker 主机 ， 可 以 执行 下 面 的 命令 ， 根 据 
支 命 令 的 输出 来 进行 设置 。 


$ ./docker-machine env foobar 

export DOCKER_TLS_VERIFY="1" 

export DOCKER_HOST="tcp://104.131.92.15:2376" 

export DOCKER_CERT_PATH="/Users/sebastiengoasguen/.docker/machine/machines/foobar" 
export DOCKER_MACHINE_NAME="foobar" 

# Run this command to configure your shell: 

# eval "$(docker-machine env foobar)" 

$ eval "$(./docker-machine env foobar)" 

$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 





现在 就 可 以 享受 一 个 由 Docker Machine 创建 的 位 于 远程 DigitalOcean 主机 上 的 Docker 了 。 


1.9.3 “讨论 


如 果 在 命令 行 上 没有 指定 参数 ，Machine 就 会 去 查找 DIGITALOCEAN_INMAGE、 
DIGITALOCEAN_REGION 和 DIGITALOCEAN_SIZE 等 环境 变量 。 默 认 情 况 下 ， 这 
些 环境 变量 会 被 分 别 设置 为 docker、nyc3 和 512mb。 








docker-machine 二 进 制 文件 允许 你 在 多 个 提供 程序 上 创建 多 台 主 机 。 它 也 提供 了 一 些 基 本 
的 管理 功能 ， 比 如 start、stop 和 rm 等， 如 下 所 示 。 


$ ./docker-machine 








COMMANDS: 
active Get or set the active machine 
create Create a machine 
config Print the connection config for machine 
inspect Inspect information about a machine 
ip Get the IP address of a machine 
kill Kill a machine 
ls List machines 
restart Restart a machine 
rm Remove a machine 
env Display the commands to set up the environment for the Docker client 
ssh Log into or run a Command on a machine with SSH 
start Start a machine 
stop Stop a machine 
Upgrade Upgrade a machine to the Latest version of Docker 
url Get the URL of a machine 
help, h Shows a list of commands or help for one command 


比如 ， 可 以 列 出 刚才 创建 的 主机 ， 获 得 该 主机 的 他 地 址 ， 其 至 可 以 通过 SSH 连接 到 该 主 
机 ， 如 下 所 示 。 


$ ./docker-machine ls 

NAME ACTIVE DRIVER STATE URL SWARM 
foobar * digitalocean Running tcp://104.131.92.15:2376 

$ ./docker-machine ip foobar 

104.131.92.15 

$ ./docker-machine ssh foobar 

Welcome to Ubuntu 14.04.2 LTS (GNU/Linux 3.13.0-57-generic x86_64) 








Last login: Mon Mar 16 09:02:13 2015 from ... 
root@foobar :~# 


在 本 范例 结束 之 前 ， 别 忘 了 删除 刚才 创建 的 云 主机 ， 如 下 所 示 。 


$ ./docker-machine rm foobar 
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1.9.4 ”参考 


。 Docker Machine 官方 文档 (https://docs.docker.com/machine/) 


1.10 ”使 用 Docker 实 验 版 二 进 制 文件 


1.10.1 问题 
你 想 使 用 Docker 的 实验 性 功能 ， 或 者 想 使 用 提交 给 Docker 上 游 代码 的 补丁 。 


1.10.2 ”解决 方案 


使 用 Docker 实验 版 二 进 制 文件 。 你 可 以 下 载 实验 版 二 进 制 文件 或 者 使 用 每 天 晚上 更 新 的 
实验 版 通道 。 


以 Linux 发 行 版 中 软件 包 的 形式 获取 Docker 的 每 日 构建 ， 如 下 所 示 。 


$ wget -q0- https://experimental.docker.com/ | sh 
$ docker version | grep Version 

Version: 1.8.0-dev 

Version: 1.8.0-dev 


或 者 也 可 以 直接 下 载 每 天 晚上 构建 出 的 二 进 制 文件 ， 比 如 在 64 位 系统 上 ， 如 下 所 示 。 


$ wget https://experimental.docker.com/builds/Linux/x86_64/docker-latest 
$ chmod +x docker-Latest 
$ ./docker-latest version | grep Version 

















Version: 1.8.0-dev 
Version: 1.8.0-dev 
如 果 你 想 默 认 使 用 这 个 二 进 制 文件 ， 请 参考 范例 4.4 中 的 说 明 。 
1.10.3 参考 
。 最 近 发 布 的 Docker 实验 版 通道 (https://blog.docker.com/2015/06/experimental-binary/) 
。 运行 实验 版 Docker 二 进 制 文件 (http://docs.docker.com/engine/installation/binaries/) 





1.11 在 Docker 中 运行 Hello World 


1.11.1 问题 


你 已 经 拥有 一 台 Docker 主机 ， 想 运行 你 的 第 一 个 容器 。 你 想 学 习 容 器 的 不 同 生命 周期 。 
比如 ， 你 想 运行 一 个 容器 并 在 其 中 打印 hello world。 


1.11.2 ”解决 方案 


在 命令 行 提示 符 下 键入 docker， 将 会 显示 docker 命令 的 使 用 方法 ， 如 下 所 示 。 
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$ docker 
Usage: docker [OPTIONS] COMMAND [arg...] 


A self-sufficient runtime for linux containers. 


Commands: 
attach Attach to a running container 
build Build an image from a Dockerfile 
Commit Create a new image from a container's changes 
rm Remove one or more containers 
rmi Remove one or more images 
run Run a command in a new container 
save Save an image to a tar archive 
search Search for an image on the Docker Hub 
start Start a stopped container 
stop Stop a running container 
tag Tag an image into a repository 
top Lookup the running processes of a container 


Unpause Unpause a paused container 
version Show the Docker version information 
wait Block until a container stops, then print its exit code 


你 已 经 见 过 了 docker ps 命令 ， 该 命令 用 于 列 出 所 有 运行 中 的 容器 。 在 本 书 的 其 他 范例 中 ， 
你 将 会 看 到 更 多 的 命令 。 首 先 ， 你 想 启动 一 个 容器 。 让 我 们 立即 开始 ， 执 行 docker run 命 
令 ， 如 下 所 示 。 

$ docker run busybox echo hello world 

Unable to find image 'busybox' locally 

busybox: latest: The image you are pulling has been verified 

511136ea3c5a: Pull complete 

df7546f9f060: Pull complete 

e433a6c5b276: Pull complete 

e72ac664f4f0: Pull complete 


Status: Downloaded newer image for busybox:Latest 
hello world 


容器 来 源 于 镜像 。docker run 命令 也 需要 一 个 参数 来 指定 使 用 哪个 镜像 。 在 上 面 的 例子 
中 ， 使 用 了 名 为 busybox 的 镜像 。 在 本 地 Docker 中 还 没有 这 个 镜像 ， 所 以 需要 先 从 公开 
registry 中 将 这 个 镜像 拖 到 本 地 。registry 是 一 个 Docker 镜像 的 仓库 ，Docker 客户 端 可 以 与 
这 个 仓库 进行 交互 并 从 中 下 载 镜像 。 镜 像 下 载 完毕 后 ，Docker 就 会 启动 容器 ， 并 在 容器 内 
执行 echo hello world 命令 。 茶 喜 你 成 功 运行 自己 的 第 一 个 容器 。 


1.11.3 ”讨论 
如 果 列 出 运行 中 的 容器 ， 你 会 发 现 没 有 容器 正在 运行 。 这 是 因为 容器 一 旦 完成 了 它 的 工作 


(输出 hello wortd) ， 就 停止 了 。 但 是 容器 并 没有 完全 消失 ， 你 可 以 通过 docker ps -a 命 
令 看 到 这 个 容器 ， 如 下 所 示 。 
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$ docker ps 


CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
$ docker ps -a 

CONTAINER ID IMAGE COMMAND ee PORTS NAMES 
8f7089b187e8 busybox:latest "echo hello world" ... thirsty_morse 


可 以 看 到 ， 输 出 信息 中 包括 该 容器 的 ID (8f7089b187e8) 和 镜像 (busybox:latest) ， 还 有 容 
器 的 名 称 以 及 容器 所 运行 的 命令 。 你 可 以 通过 docker rm 8f7089b187e8 命令 将 这 个 容器 永 
久 删 除 。 该 容器 使 用 的 镜像 已 经 被 下 载 到 了 本 地 ，docker images 命令 将 会 输出 这 个 镜像 
的 信息 ， 如 下 所 示 。 

$ docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
busybox Latest e72ac664f4f0 9 weeks ago 2.433 MB 


如 果 任 何 运 行 中 或 者 已 经 停止 的 容器 都 没有 使 用 这 个 镜像 ， 你 就 可 以 通过 docker rmi 
busybox 命令 来 删除 这 个 镜像 。 


运行 echo 命令 虽然 很 有 趣 ， 但 是 获得 一 个 终端 会 话 会 更 好 。 要 想 在 容器 中 运行 /bin/bash， 
你 需要 使 用 -t 和 -i 参数 来 获得 一 个 交互 式 会 话 ， 下 面 以 使 用 Ubuntu 镜像 为 例 进行 说 明 。 


$ docker run -t -i ubuntu:14.04 /bin/bash 

Unable to find image 'ubuntu:14.04' locally 

Ubuntu:14.04: The image you are pulling has been verified 
01bf15a18638: Pull complete 

30541f8f3062: Pull complete 

elcdf371fbde: Pull complete 

9bd07e480c5b: Pull complete 

511136ea3c5a: Already exists 

Status: Downloaded newer image for ubuntu:14.04 
root@6f1050d21b41: /# 


你 会 看 到 Docker 下 载 的 ubuntu:14.04 镜像 由 多 个 层 组 成 ， 然 后 你 得 到 了 一 个 容器 中 root 权 
限 的 会 话 。 提 示 符 也 显示 了 这 个 容器 的 ID。 一 旦 你 退出 这 个 终端 ， 该 容器 就 会 停止 运行 ， 
就 像 我 们 前 面 的 hello world 例子 一 样 。 


如 果 你 错过 了 最 开始 关于 如 何 安装 Docker 的 范例 ， 也 可 以 试 试 网 页 版 的 模 
拟 器 (https://www.docker.com/tryit/)。 这 个 工具 提供 了 一 个 10 分 钟 的 Docker 
教程 ， 你 可 以 通过 这 个 网 页 初步 了 解 一 下 Docker。 















































1.12 ”以 后 台 方 式 运 和 


1.12.1 问题 
你 已 经 知道 如 何以 交互 方式 启动 一 个 容器 ， 但 是 你 想 以 后 台 方 式 运 行 一 个 服务 。 


dl 
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1.12.2 ”解决 方案 
使 用 docker run 的 -d 选项 。 
运行 下 面 的 命令 ， 将 会 在 容器 中 启动 一 个 简单 的 基于 Python 的 HTTP 服务 器 。 这 个 容器 使 








用 了 python:2.7 镜像 ， 该 镜像 下 载 自 Docker Hub (https://registry.hub.docker.com/_/python/， 
参见 范例 2.9) 。 

$ docker run -d -p 1234:1234 python:2.7 python -m SimpleHTTPServer 1234 

$ docker ps 

CONTAINER ID IMAGE COMMAND 2 NAMES 

Qfae2d2e8674 python:2.7 "python -m SimpLeHTT 人 suspicious_pike 

















如 果 你 在 浏览 器 上 访问 该 容器 所 在 主机 的 卫 地址 以 及 1234 端口 ， 将 会 看 到 该 容器 中 根 目 
录 下 的 所 有 文件 列表 。Docker 会 根据 -p 1234:1234 参数 自动 在 容器 和 宿主 机 之 间 进 行 端口 
映射。 在 范例 3.2 中 ， 你 将 会 详细 了 解 Docker 的 这 一 网 络 功能 。 


1.12.3 “讨论 
-d 参数 会 让 容器 在 后 台 运 行 。 你 可 以 通过 运行 exec 命令 来 启动 一 个 bash shell， 再 次 
Tie 如 下 所 示 。 


$ docker exec -ti 9d7cebd75dcf /bin/bash 
root@9d7cebd75dcf:/# ps -ef | grep python 
root 1 0 0 15:42 ? 00:00:00 python -m SimpleHTTPServer 1234 




















在 官方 文档 (https://docs.docker.com/reference/run/) 中 还 有 docker run 的 其 他 很 多 选项 。 
你 可 以 实验 一 下 给 容器 指定 名 称 ， 修 改 容器 中 的 工作 目录 ， 设 置 一 个 环境 变量 ， 等 等 。 


1.12.4 ”参考 


。 Docker run 参考 文档 (https://docs.docker.com/reference/run/) 


1.13 创建、 启动 、 停 止 和 移 除 容器 


1.13.1 问题 


你 已 经 知道 如 何 启动 一 个 容器 并 让 它 在 后 台 运 行 。 你 希望 学 习 基 本 命令 来 管理 容器 的 整个 
生命 周期 。 


1.13.2 ”解决 方案 


使 用 Docker 命令 行 的 create、start、stop、kill 和 rm 命令。 你 可 以 在 这 些 命令 后 面 加 上 
-h 或 者 --h 选项 来 查看 它们 的 使 用 方法 ， 或 者 只 输入 命令 令 而 不 指定 任何 参 : (比如 docker 


create ) 。 
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1.13.3 | 


在 范例 1.12 中 ， 你 通过 docker run 自动 启动 了 一 个 容器 。 你 也 可 以 通过 docker create 命 
令 来 创建 ws 旨 4 使 用 上 面 简单 的 HTTP 服务 器 的 例子 ， 唯 一 的 区 别 就 是 这 里 没有 
-d 选项 。 当 创建 容器 之 后 ， 你 需要 运行 docker start 来 启动 这 个 容器 ， 如 下 所 示 。 
$ docker create -P --expose=1234 python:2.7 python -m SimpleHTTPServer 1234 


a842945e2414132011ae704b0c4a4184acc4016d199dfd4e7181c9b89092de13 
$ docker ps -a 














CONTAINER ID IMAGE COMMAND CREATED ... NAMES 
a842945e2414 python:2.7 "python -m SimpLeHTT 8 seconds ago ... fervent_hodgkin 
$ docker start a842945e2414 

a842945e2414 

$ docker ps 

CONTAINER ID IMAGE COMMAND ri NAMES 

a842945e2414 python:2.7 "python -m SimpLeHTT ... fervent_hodgkin 


要 想 停止 一 个 正在 运行 中 的 容器 ， We docker kill (这 个 命令 会 发 送 SIGKILL 信 
号 到 容器 ) 或 者 docker stop (这 个 命令 会 发 送 SIGTERM J 如 果 在 一 定时 间 内 容器 还 
没有 停止 ， 则 会 再 发 送 SIGKILL 信号 强 制 停止) 这 两 个 命令 最 终 的 结果 是 停止 容器 的 运 
行 ， 该 容器 将 不 会 出 现在 docker 上 5 返 四 的 运 从 市 窜 迪 列表 中 。 但 是 ， 容 器 还 没有 完全 消 
失 (比如 容器 的 文件 系统 还 在 )。 你 可 以 通过 docker restart 来 重启 这 个 容器 ， 或 者 通过 
docker rm 移 除 这 个 容器 ， 如 下 所 示 。 


$ docker restart a842945e2414 








a842945e2414 

$ docker ps 

CONTAINER ID IMAGE COMMAND 和 NAMES 

a842945e2414 python:2.7 "python -m SimpLeHTT ... fervent_hodgkin 

$ docker kill a842945e2414 

a842945e2414 

$ docker rm a842945e2414 

a842945e2414 

$ docker ps -a 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 


如 果 你 有 很 多 停止 中 的 容器 待 删 除 ， 可 以 在 一 条 命令 中 使 用 骨 套 的 shell 来 删 
除 所 有 容器 。docker ps 的 -q 选项 只 会 返回 容器 的 ID 信息 ， 如 下 所 示 。 


$ docker rm $(docker ps -a -q) 








1.14 ”使 用 Dockerfile 构 建 Docker 镜 像 


1.14.1 问题 
你 知道 了 如 何 从 公有 的 Docker registry 下 载 镜 像 ， 但 是 你 想 构 建 自己 的 Docker 镜像 。 





1.14.2 ”解决 方案 


使 用 Dockerfile 构建 镜像 。Dockerfile 是 一 个 文本 文件 ， 它 记述 了 Docker 构建 一 个 镜像 所 
需要 的 过 程 ， 包 括 安装 软件 包 、 创 建文 件 夹 、 定 义 环境 变量 以 及 其 他 一 些 操 作 。 在 第 2 章 中 
我 们 会 对 Dockerfile 和 构建 镜像 做 更 深入 的 说 明 。 本 范例 中 只 会 涉及 构建 镜像 的 基本 概念 。 
作为 一 个 简单 例子 ， 我 们 假设 你 要 基于 busybox 镜像 创建 一 个 新 镜像 ， 并 定义 一 个 环境 变 
量 。busybox 镜像 是 一 个 包含 了 busybox (http:/www.busybox.net/about.html) 二 进 制 文 们 
的 Docker 镜像 ， 这 个 二 进 制 文件 将 很 多 Unix 实用 工具 打包 到 了 一 个 单一 的 二 进 制 文件 
中 。 在 一 个 空 文件 夹 下 创建 一 个 名 为 Dockerfile 的 文件 ， 如 下 所 示 。 


FROM busybox 























iT 











ENV foo=bar 


可 以 通过 docker build 命令 来 构建 一 个 新 镜像 ， 并 命名 为 busybox2， 如 下 所 示 。 


$ docker build -t busybox2 . 
Sending build context to Docker daemon 2.048 kB 
Step 0 : FROM busybox 
Latest: Pulling from library/busybox 
cf2616975b4a: Pull complete 
6ce2e90b0bc7: Pull complete 
8c2e06607696: PULL complete 
Digest: sha256:df9e13f36d2d5b30c16bfbf2a6110c45ebedobfa1lea42d357651bc6c736d5322 
Status: Downloaded newer image for busybox:Latest 
---> 8c2e06607696 
Step 1 : ENV foo bar 
---> Running in f46c59e9bdd6 
---> 582bacbe7aaa 


构建 结束 之 后 ， 你 就 能 通过 docker images 命令 看 到 新 构建 的 镜像 了 。 可 以 基于 这 个 新 镜 
像 启 动 一 个 容器 ， 检 查 一 下 其 中 是 否 有 一 个 名 为 foo 的 环境 变量 ， 并 且 其 值 被 设置 为 了 
bar， 如 下 所 示 。 


$ docker images 























REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
busybox2 Latest 582bacbe7aaa 6 seconds ago 2.433 MB 
busybox latest 8c2e06607696 3 months ago 2.433 MB 
$ docker run busybox2 env | grep foo 
foo=bar 

1.14.3 参考 


。 Dockerfile 参考 指南 (https://docs.docker.com/reference/builder/) 
。 第 2 章 ， 其 中 会 对 创建 镜像 和 共享 镜像 进行 说 明 
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1.15 ”在 单一 容器 中 使 用 Supervisor 运 行 WordPress 


1.15.1 问题 

你 已 经 知道 了 如 何 将 两 个 容器 链接 到 一 起 (参见 范例 1.16)， 不 过 你 希望 在 一 个 容器 中 运 
行 应 用 程序 所 需 的 所 有 服务 。 以 运行 WordPress 为 例 ， 你 想 在 一 个 容器 中 同时 运行 MySQL 
和 HTTPD 服务 。 由 于 Docker 运行 的 是 前 台 进 程 ， 所 以 你 需要 找到 一 种 同时 运行 多 个 “前 
台 ” 进 程 的 方式 。 


1.15.2 ”解决 方案 


使 用 Supervisor (http://supervisord.org/index.html) 来 监控 并 运行 MySQL 和 HTTPD。 
Supervisor 不 是 一 个 init 系统 ， 而 是 一 个 用 来 控制 多 个 进程 的 普通 程序 。 


本 范例 是 一 个 在 容器 中 使 用 Supervisor 同时 运行 多 个 进程 的 例子 。 你 可 以 以 


此 为 基础 在 一 个 Docker 镜像 中 运行 多 个 服务 (比如 SSH、Nginx)。 本 范例 
中 ，WordPress 的 配置 是 一 个 最 精简 的 可 行 配置 ， 并 不 适用 于 生产 环境 。 

















示例 中 的 文件 可 以 在 GitHub (https://github.com/how2dock/docbook/tree/master/ch01/supervisor) 
下 载 。 这 些 文件 中 包括 一 个 用 于 启动 虚拟 机 的 Vagrantfile，Docker 运行 在 该 虚拟 机 
中 ， 还 包含 一 个 Dockerfile 来 定义 要 创建 的 镜像 ， 此 外 还 有 一 个 Supervisor 的 配置 文件 
(supervisord.conf) 和 一 个 WordPress 的 配置 文件 (wp-config.php)。 





如 果 你 不 想 使 用 Vagrant， 也 可 以 使 用 其 中 的 Dockerfile、supervisord 和 
WordPress 的 配置 文件 ， 在 自己 的 Docker 主机 上 来 安装 。 





为 了 运行 WordPress， 你 需要 安装 MySQL、Apache 2 ( 即 httpd)、PHP 以 及 最 新 版 本 
的 WordPress。 你 将 需要 创建 一 个 用 于 WordPress 的 数据 库 。 在 该 范例 的 配置 文件 中 ， 
WordPress 数据 库 用 户 名 为 root， 密 码 也 是 root， 数 据 库 名 为 wordpress。 如 果 你 想 对 数据 
库 的 配置 进行 修改 ， 需 要 同时 修改 wp-config.php 和 Dockerfile 这 两 个 文件 ， 并 让 它们 的 设 
置 保持 一 致 。 

Dockerfile 文件 用 来 描述 一 个 Docker 镜像 是 如 何 构建 的 ， 后 面 章节 会 有 关于 Dockerfile 的 
详细 说 明 。 如 果 这 是 你 第 一 次 使 用 Dockerfile 文件 ， 那 么 你 可 以 直接 使 用 下 面 的 文件 ， 以 
后 再 学 习 Dockerfile (参见 范例 2.3 对 Dockerfile 的 介绍 ) 。 





FROM ubuntu:14.04 


RUN apt-get update && apt-get -y install \ 
apache2 \ 
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php5 \ 
php5-mysqL \ 
supervisor \ 
wget 


RUN echo 'mysql-server mysql-server/root_ password password root' | \ 


debconf-set-selections && \ 


echo 'mysql-server mysql-server/root_ password_again password root' 


debconf-set-selections 


RUN apt-get install -qqy mysql-server 


RUN wget http://wordpress.org/latest.tar.gz && \ 


tar xzvf latest.tar.gz && \ 


cp -R ./wordpress/* /var/www/html && \ 


rm /var/www/html/index.html 


| \ 


RUN (/usr/bin/mysqld_safe &); sleep 5; mysqladmin -Uy root -proot create wordpress 


COPY wp-config.php /var/www/html/wp-config.php 
COPY supervisord.conf /etc/supervisor/conf.d/supervisord.conf 


EXPOSE 80 


CMD ["/usr/bin/supervisord"] 


Supervisor 的 配置 文件 supervisord.conf 如 下 所 示 。 


[supervisord] 
nodaemon=true 


[program:mysqLd] 
command=/usr/bin/mysqld_safe 
autostart=true 
autorestart=true 

user=root 


[program:httpd] 


command=/bin/bash -c "rm -rf /run/httpd/* && /usr/sbin/apachectl -D FOREGROUND" 


这 里 定义 了 两 个 被 监控 和 运行 的 服务 : mysqld 和 httpd。 每 个 程序 都 可 以 使 用 诸如 
autorestart 和 autostart 等 选项 。 最 重要 的 指令 是 command， 其 定义 了 如 何 运行 每 个 程序 。 














$ cd /vagrant 
$ docker build -t wordpress . 
$ docker run -d -p 80:80 wordpress 














在 这 个 例子 中 ，Docker 容器 只 需要 运行 一 个 前 台 进 程 ，supervisord。 从 Dockerfile 中 的 
CMD [“/usr/bin/supervisord”] 这 一 行 也 能 看 出 来 。 
在 你 的 Docker 主机 上 ， 构 建 该 镜像 并 启动 一 个 后 台 容器 。 如 果 按 照例 子 中 的 配置 文件 使 
用 了 基于 Vagrant 的 虚拟 机 ， 可 以 执行 如 下 命令 。 





容器 启动 后 还 会 在 宿主 机 和 Docker 容器 之 间 为 80 端口 进行 端口 映射 。 现 在 只 需要 在 浏览 
器 中 打开 http://<ip_of_docker_host>， 就 可 以 进入 到 WordPress 的 配置 页 面 了 。 
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1.15.3 ”讨论 


尽管 通过 Supervisor 在 一 个 容器 内 同时 运行 多 个 应 用 服务 工作 起 来 非常 完美 ,但 是 你 最 好 
还 是 使 用 多 个 容器 来 运行 不 同 的 服务 。 这 能 充分 利用 容器 的 隔离 优势 ， 也 能 帮助 你 创建 基 
于 微服 务 设计 思想 的 应 用 (参见 《微服 务 设计 》')。 最 终 这 也 将 会 使 你 的 应 用 更 具 弹 性 和 可 
扩展 性 。 


1.15.4 参考 


。 Supervisor 文档 (http://supervisord.org/index.html) 




















。 Docker Supervisor 文档 (https://docs.docker.com/articles/using_supervisord/) 


1.16 ”使 用 两 个 链接 在 一 起 的 容器 运行 WordPress 
博客 程序 


1.16.1 问题 


你 希望 通过 容器 来 运行 一 个 WordPress 网 站 (http:/wordpress.com/) ， 但 是 你 不 想 让 
0 和 WordPress 在 同一 个 容器 中 运行 。 你 时 刻 谨 记 对 关注 点 进行 分 离 的 原则 ， 并 尽 
能 地 对 应 用 程序 的 不 同 组 件 进行 解 而 。 


1.16.2 ”解决 方案 


启动 两 个 容器 : 一 个 运行 来 自 Docker Hub (http://hub.docker.com/) 的 官方 WordPress， 
一 个 运行 MySQL 数据 库 。 这 两 个 容器 通过 Docker 命令 行 工具 的 --Link 选项 链接 在 
一 起 。 
开始 下 载 最 新 的 WordPress (https://hub.docker.com/_/wordpress/) 和 MySQL (https://.hub. 
docker.com/_/mysql/) 镜像 ， 如 下 所 示 。 
$ docker pull wordpress:Latest 


$ docker pull mysqL:Latest 
$ docker images 








REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
mysql latest 9def920de0a2 4 days ago 282.9 MB 
wordpress Latest 93acfaf85c71 8 days ago 472.8 MB 
局 动 一 个 MySQL 容器 ， 并 通过 命令 行 工具 的 - -name 选项 为 这 个 容器 设置 一 个 名 称 ， 通 过 





MYSQL_ROOT_PASSWORD 环境 变 :最 来 设置 MySQL 的 密码 ， 如 下 所 示 。 


$ docker run --name mysqlwp -e MYSQL_ ROOT_PASSWORD=wordpressdocker -d mysql 














注 1: 此 书 已 由 人 民 邮 电 出 版 社 出 版 。 一 一 编者 注 















































如 果 在 使 用 mysql 镜像 时 没有 指定 标签 
这 也 是 前 面 刚刚 下 载 的 镜像 。 容 器 


通过 -d 


Docker 会 自动 使 
选项 以 守护 式 的 方式 开始 运行 。 











] Latest 标签 ， 








现在 就 可 以 基于 wordpress:latest 镜像 启动 WordPress 容器 了。 这 个 容器 将 会 通过 - -Link 选 





项 链接 到 MySQL 
MySQL 容器 中 暴露 出 来 的 端 


JP 口 SL 


谷 矿 ， 





这 样 Docker 会 





自动 进行 网 络 配置 ， 让 WordPress 容器 能 访问 到 
口 ， 如 下 所 示 。 


$ docker run --name wordpress --Link mysqlwp:mysql -p 80:80 -d wordpress 


两 个 容器 都 会 以 后 台 方 式 运 行 ，WordPress 


如 下 所 示 。 


$ docker ps 

CONTAINER ID 
e1593e7a20df 
d4be18e33153 











如 图 











IMAGE 
wordpress:Latest 
mysqL:Latest 


STATUS 
Up About a minute 
Up 5 minutes 


COMMAND 
"/entrypoint.sh apac 
"/entrypoint.sh mysq 


PORTS 
0.0.0.0:80->80/tcp 
3306/tcp 


容器 的 80 端口 会 被 映射 到 宿主 机 的 80 端口 上 ， 


CREATED 
About a minute ago 
5 minutes ago 


NAMES 
wordpress 
mysqlwp 

















1-10 所 示 。 完 成 了 WordPress 的 安装 过 程 ， 你 将 会 得 到 一 个 在 两 个 链接 到 一 起 的 
容器 之 上 运行 的 WordPress 网 站 。 





在 浏览 器 中 打开 http://<ip_of_host> 就 会 看 到 WordPress 的 安装 界面 ,里面 有 选择 语言 的 窗 
口 





docker 
About WordPress 


WordPress.org 
Documentation 
Support Forums 
Feedback 
Media 
Pages 


Comments 


Appearance 


Plugins 


Users 
Tools 


Settings 








Dashboard 


Welcome to WordPress! 
Weve assembled some links to get 


Get Started 


Customize Your Site 


or, change your theme completely 


Ata Glance 


下 1Post 


明 1 Comment 


转 1Page 


you started: 


Next Steps 
BB write your first blog post 
Add an About page 


十 
加 View your site 


Quick Draft 


Title 


Howdy, docker | 


Screen Options Help 


Dismiss 


More Actions 





图 Manage widgets or menus 
多 Turn comments on or off 


谷 Learn more about getting started 


Whats on your mind? 


WordPress 4.1 running Twenty Fifteen theme. 


Search Engines Discouraged 


Activity 
Recently Published 


Today, 10:31 am Hello world! 


Comments 


WordPress News 


WordPress 4.1 “Dinah” 


December 18, 2014 








图 1-10: 在 容器 中 运行 的 WordPress 站 点 
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1.16.3 ”讨论 

这 两 个 WordPress 和 MySQL 镜像 都 是 官方 镜像 ， 分 别 由 WordPress 和 MySQL 的 社区 来 
维护 。Docker Hub Us 的 详细 
文档 。 








别 忘 了 阅读 WordPress 镜像 文档 (https://hub.docker.com/_/wordpress/) 和 MySQL 
镜像 文档 (https://hub.docker.com/_/mysql/)。 








令 人 感 兴趣 的 是 ， 你 可 以 通过 设置 几 个 环境 变量 来 创建 一 个 数据 库 ， 并 且 只 有 具有 相应 权 
限 的 用 户 才 能 操作 数据 库 : MYSQL_DATABASE、MYSQL_USER 和 MYSQL_PASSWORD。 在 前 面 的 例 
子 中 ，WordPress 使 用 了 MySQL 的 root 用 户 ， 这 并 不 是 一 个 好 实践 。 最 好 是 创建 一 个 名 
为 wordpress 的 数据 库 ， 并 为 其 创建 一 个 用 户 ， 像 下 面 这 样 。 
$ docker run --name mysqlwp -e MYSQL_ROOT_PASSWORD=wordpressdocker \ 
-e MYSQL_DATABASE=wordpress \ 
-e _ MYSQL_USER=wordpress \ 


-e MYSQL_PASSWORD=wordpresspwd \ 
-d mysql 























如 果 你 需要 删除 所 有 容器 ， 可 以 使 用 下 面 这 种 代 套 shell 的 快捷 方式 。 


$ docker stop $(docker ps -q) 
$ docker rm -v $(docker ps -aq) 


docker rnm 命令 的 -v 选项 用 来 删除 MySQL 镜像 中 定义 的 数据 卷 。 








数据 库容 器 启动 之 后 ， 可 以 启动 WordPress 容器 并 指定 你 设置 好 的 数据 库 表 ， 如 下 所 示 。 


$ docker run --name wordpress --Link mysqlwp:mysql -p 80:80 \ 
-e WORDPRESS_DB_NAME=wordpress \ 
-e WORDPRESS_DB_USER=wordpress \ 
-e WORDPRESS_DB_PASSWORD=wordpresspwd \ 
-d wordpress 


1.17 备份 在 容器 中 运行 的 数据 库 


1.17.1 问题 
你 使 用 MySQL 镜像 对 外 提供 数据 库 服务 。 为 了 对 数据 进行 持久 化 ， 你 需要 备份 该 数据 库 。 


1.17.2 ”解决 方案 


你 可 以 使 用 一 种 或 几 种 备份 策略 结合 起 来 使 用 。 适 用 于 容器 的 主要 有 两 种 方式 : 一 是 可 以 


























在 一 个 以 后 台 方 式 运 行 的 容器 中 执行 一 条 命令 ， 二 是 挂 载 一 个 宿主 机 卷 〈 即 一 个 在 宿主 机 
上 能 访问 的 存储 区 域 ) 到 容器 中 。 在 本 范例 中 ， 我 们 将 会 看 到 如 何 去 做 下 面 两 件 事 ; 

。 将 Docker 主机 上 的 卷 挂 载 到 MySQL 容器 中 

。 使 用 docker exec 命令 执行 mysqldump 


在 范例 1.16 的 例子 中 ， 我 们 通过 两 个 链接 在 一 起 的 容器 安装 了 一 个 WordPress 站 点 。 在 
该 范例 中 ， 我 们 将 会 修改 启动 MySQL 容器 的 方式 。 容 器 启动 之 后 ， 一 个 功能 齐全 的 
WordPress 网 站 已 经 安装 完成 ， 你 可 以 停止 容器 ， 这 也 将 会 停止 你 的 应 用 程序 。 这 时 容器 
还 没有 被 完全 删除 ， 数 据 库 中 的 数据 仍然 可 以 访问 到 。 不 过 ， 如 果 你 删除 容器 (docker rm 
$(docker ps -aq))， 那 么 其 中 所 有 的 数据 都 会 丢失 。 


有 一 种 方式 可 以 在 容器 被 docker rm -v 命 令 删 除 之 后 也 能 保留 数据 ， 就 是 将 宿主 机 的 卷 
挂 载 到 容器 中 。 如 果 你 只 是 使 用 docker rn 命令 来 删除 容器 ， 那 么 这 个 容器 的 镜像 所 定义 
的 卷 会 在 磁盘 上 保留 ， 尽 管 这 时 容器 已 经 不 存在 了 。 如 果 看 一 下 构建 这 个 MySQL 镜像 的 
Dockerfile 文 件 (https://github.com/docker-library/mysql/blob/d6268ace61047c74468d7c59b4d8 
da6be5dec16a/5.6/Dockerfile) ， 将 会 看 到 VOLUME /var/Lib/mysqt 这 一 行 。 这 一 行 的 意思 是 ， 
当 你 基于 该 镜像 启动 一 个 容器 时 ， 可 以 将 宿主 机 的 文件 夹 绑 定 到 容器 中 的 这 个 挂 载 点 上 ， 
比如 下 面 这 样 。 
$ docker run --name mysqlwp -e MYSQL_ROOT_PASSWORD=wordpressdocker \ 
-e MYSQL_DATABASE=wordpress \ 
-e MYSQL_USER=wordpress \ 
-e MYSQL_PASSWORD=wordpresspwd \ 
-Vv /home/docker/mysql:/var/lib/mysql \ 
-d mysql 
上 面 命令 中 -v /home/docker/mysql:/var/tib/mysql 这 一 行进 行 了 宿主 机 和 容器 中 卷 的 绑 
定 。 当 完成 WordPress 的 设置 之 后 ， 在 宿主 机 /home/docker/mysql 文件 夹 下 就 能 看 到 这 些 
文件 变动 。 
$ ls mysqL/ 
auto.cnf ibdatal iib logfile0 ib logfile1 mysql Pperformance_schema wordpress 
为 了 对 整个 MySQL 数据 库 进行 备份 ， 可 以 使 用 docker exec 命令 在 容器 内 执行 
mysqldump， 如 下 所 示 。 


$ docker exec mysqlwp mysqldump --aLL-databases \ 
--password=wordpressdocker > wordpress.backup 


现在 你 可 以 使 用 传统 方式 来 进行 数据 库 的 备份 和 恢复 了 。 比 如 ， 在 云 环 境 中 ， 你 可 能 会 将 
Elastic Block Store (例如 AWS EBS) 挂 载 到 一 个 主机 实例 ， 再 挂 载 到 容器 中 。 你 也 可 以 将 
你 的 MySQL 备份 保存 到 Elastic Storage (比如 AWS S3) 中 。 


1.17.3 讨论 


尽管 本 例 中 使 用 的 是 MySQL 数据 库 ， 不 过 这 种 方式 也 适用 于 Postgres 和 其 他 数据 库 。 如 
果 你 用 了 Docker Hub 上 的 Postgres (https://registry.hub.docker.com/_/postgres/) 镜像 ， 那 么 
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也 可 以 从 它 的 Dockerfile (https://github.com/docker-library/postgres/blob/5f401753715311752 
f2346cdbd32bd55e7251ddd/9.4/Dockerfile) 中 看 到 其 中 也 定义 了 一 个 卷 (VOLUME /var/Lib/ 
postgresqL/data) 。 


1.18 在 宿主 机 和 容器 之 间 共 享 数据 


1.18.1 问题 
你 在 宿主 机 上 有 一 些 数据 ， 想 在 容器 中 也 能 访问 到 这 些 数据 。 


1.18.2 解决 方案 
在 运行 docker run 命令 时 ， 通 过 设置 -v 选项 将 宿主 机 的 卷 挂 载 到 容器 中 。 
比如 ， 你 想 将 宿主 机 /cookbook 目录 下 的 工作 目录 与 容器 共享 ， 可 以 执行 以 下 指令 


$ ls 

data 

$ docker run -ti -v "$PWD":/cookbook ubuntu:14.04 /bin/bash 
root@11769701f6f7:/# ls /cookbook 

data 


在 这 个 例子 中 ， 窒 主机 上 的 当前 工作 目录 会 挂 载 到 容器 中 的 /cookbook 目录 上 。 如 果 你 在 
容器 内 创建 了 文件 或 者 文件 夹 ， 那 么 这 些 修改 会 直接 反映 到 宿主 机 上 ， 如 下 所 示 。 

$ docker run -ti -v "$PWD":/cookbook ubuntu:14.04 /bin/bash 

root@44d71a605b5b:/# touch /cookbook/foobar 

root@44d71a605b5b: /# exit 

exit 

$ ls -L foobar 

-rw-r--r-- 1 root root 0 Mar 11 11:42 foobar 


默认 情况 下 ，Docker 会 以 读 写 模式 挂 载 数据 卷 。 如 果 想 以 只 读 方 式 挂 载 数 据 卷 ， 可 以 在 卷 
名 称 后 通过 冒号 设置 相应 的 权限 。 比 如 在 前 面 的 例子 中 ， 如 果 想 以 只 读 方 式 将 工作 目录 挂 
载 到 /cookbook， 可 以 使 用 -v“"$PWD":/cookbook:ro。 可 以 通过 docker inspect 命令 来 查看 
数据 卷 的 挂 载 映射 情况 。 参 考 范例 9.1 可 以 获取 更 多 有 关 inspect 的 介绍 


$ docker inspect -f {{.Mounts}} 44d71a605b5b 
[{ /Users/sebastiengoasguen/Desktop /cookbook true}] 


1.18.3 参考 


。 管理 容器 内 的 数据 (https://docs.docker.com/userguide/dockervolumes/) 

。 了 解 卷 (http://container-solutions.com/2014/12/understanding-volumes-docker/) 
。 数据 容器 (http://container42.com/2014/11/18/data-only-container-madness/) 

。 Docker volume (http://container42.com/2014/11/03/docker-indepth-volumes/) 












































1.19 在 容器 之 间 共 享 数 据 


1.19.1 问题 


你 已 经 知道 了 如 何 将 宿主 机 中 的 数据 卷 挂 载 到 运行 中 的 容器 上 ， 但 是 你 想 和 其 他 容器 共享 
ee 这 样 做 的 优点 是 让 Docker 去 负责 管理 卷 ， 并 且 遵 循 了 单一 职责 
一 原则 。 


1.19.2 ”解决 方案 


使 用 数据 容器 。 在 范例 1.18 中 ， 你 已 经 知道 了 如 何 将 宿主 机 中 的 卷 挂 载 到 容器 中 ， 可 以 使 
用 docker run 命令 的 -v 选项 指定 宿主 机 中 的 卷 ， 以 及 该 卷 在 容器 中 要 挂 载 的 路 径 。 如 果 
省 略 了 宿主 机 中 的 路 径 ， 那 么 你 就 创建 了 一 个 称 为 数据 容器 的 容器 。 


容器 启动 后 会 在 内 部 创建 参数 中 指定 的 卷 ， 这 是 一 个 有 具备 读 写 权限 的 文件 系统 ， 它 不 在 容 
器 镜像 最 顶层 的 只 读 层 之 上 。Docker 会 负责 管理 这 个 文件 系统 ， 但 你 也 可 以 在 宿主 机 上 对 
其 进行 读 写 。 下 面 我 们 就 来 看 看 它 是 如 何 工 作 的 。( 为 了 方便 说 明 ， 这 里 对 卷 的 ID 进行 了 
截断 。) 

$ docker run -ti -v /cookbook ubuntu:14.04 /bin/bash 

root@b5835d2b951e:/# touch /cookbook/foobar 

root@b5835d2b951e:/# ls cookbook/ 

foobar 

root@b5835d2b951e: /# exit 

exit 

bash-4.3$ docker inspect -f {{.Mounts}} b5835d2b951e 

[{dbba7caf8d07b862b61b39... /var/lib/docker/volumes/dbba7caf8d07b862b61b39... \ 

/data /cookbook local true}] 

$ sudo ls /var/Lib/docker/voLumes/dbba7caf8d07b862b61b39. . . 

foobar 
































由 Docker 引擎 创建 的 用 于 存储 卷 数 据 的 目录 位 于 Docker 主机 之 上 。 如 果 
你 是 通过 Docker Machine 创建 的 远程 Docker 主机 ， 就 需要 连接 到 该 远程 
Docker 主机 来 查看 Docker volume 数据 路 径 的 详情 。 











这 个 容器 局 动 之 后 ，Docker 会 创建 /cookbook 目录 。 在 容 嚣 中， 你 可 以 对 这 个 目录 进行 读 
写 操 作 。 在 你 退出 这 个 容器 之 后 ， 可 以 通过 inspect 命令 (参见 范例 9.1) 来 查看 这 个 数据 
卷 被 保存 到 了 宿主 机 的 什么 位 置 。Docker 会 在 /var/lib/docker/volumes/ 下 为 这 个 卷 创建 对 
应 的 文件 夹 。 你 可 以 在 宿主 机 上 对 这 个 文件 夹 进行 读 写 。 任 何 对 这 个 文件 夹 的 修改 都 会 被 
保存 下 来 ， 如 果 你 重启 了 这 个 容器 ， 那 么 在 容器 内 也 能 看 到 修改 后 的 内 容 ， 如 下 所 示 。 

$ sudo touch /var/Lib/docker/voLumes/dbba7caf8d07b862b61b39. . ./foobar2 

$ docker start b5835d2b951e 

$ docker exec -ti b5835d2b951e /bin/bash 


root@b5835d2b951e:/# ls /cookbook 
foobar foobar2 
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为 了 将 这 个 容器 中 的 卷 共 享 给 其 他 容器 ， 可 以 使 用 - -voLumes-fron 选项 。 让 我 们 重新 开始 
来 创建 一 个 数据 容器 ， 然 后 再 创建 另 一 个 容器 来 挂 载 源 数据 容器 中 共享 的 卷 ， 如 下 所 示 。 


$ docker run -v /data --name data Ubuntu:14.04 

$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

$ docker inspect -f {{.Mounts}} data 

[{4ee1d9e3d453e843819c6ff. .. /var/lib/docker/volumes/4ee1d9e3d453e843819c6ff... \ 
/data /data local true] 





这 个 容器 并 没有 处 于 运行 状态 。 但 是 它 的 卷 映 射 关系 已 经 存在 ， 并 且 卷 被 持 
入 化 到 了 /var/lib/docker/vfs/dir 下 面 。 你 可 以 通过 docker rm -v data 命令 来 
删除 容器 和 它 的 卷 。 如 果 你 没有 使 用 rm ”-v 选项 来 删除 容器 和 它 的 卷 ， 那 么 
系统 中 将 会 遗留 很 多 没有 被 使 用 的 卷 。 








即使 这 个 数据 容器 没有 运行 ， 你 也 可 以 通过 - -voLumes-from 来 挂 载 其 中 的 卷 ， 如 下 所 示 。 


$ docker run -ti --volumes-from data Ubuntu:14.04 /bin/bash 
root@b94a006377c1:/# touch /data/foobar 
root@b94a006377c1:/# exit 

exit 

$ sudo ls /var/Lib/docker/voLumes/4ee1d9e3d453e843819c6ff. . . 
foobar 


1.19.3 参考 


。 了 解 卷 (http://container-solutions.com/2014/12/understanding-volumes-docker/) 

。 数据 容器 (http://container42.com/2014/11/18/data-only-container-madness/) 

。 Docker volume (http://container42.com/2014/11/03/docker-indepth-volumes/) 

。 Docker 官方 文档 (https://docs.docker.com/userguide/dockervolumes/) 

。 Docker volume 的 优点 (https://medium.com/@ramangupta/why-docker-data-containers-are- 
g00d-589b3c6c749e#.fabqztipw) 


1.20 ”对 容器 进行 数据 复制 


1.20.1 问题 
你 有 一 个 运行 中 的 容器 ， 没 有 设置 任何 卷 映射 信息 ， 但 是 你 想 从 容器 内 复制 数据 出 来 或 者 
将 数据 复制 到 容器 里 。 


1.20.2 ”解决 方案 
使 用 docker cp 命令 将 文件 从 正在 运行 的 容器 复制 到 Docker 主机 。docker cp 命令 支持 在 
Docker 主机 与 容器 之 间 进 行文 件 复制 。 其 用 法 很 简单 ， 如 下 所 示 。 


$ docker cp 
docker: "cp" requires 2 arguments. 

















See 'docker cp --help'. 


Usage: docker cp [OPTIONS] CONTAINER:PATH LOCALPATH|- 
docker cp [OPTIONS] LOCALPATH|- CONTAINER:PATH 


Copy files/folders between a container and your host. 


为 了 讲解 它 是 如 何 工作 的 ， 我 们 先 启 动 一 个 容器 ， 并 让 它 执 行 睡眠 操作 。 然 后 你 可 以 进入 
到 这 个 容器 ， 并 手动 创建 一 个 文件 ， 如 下 所 示 。 

$ docker run -d --name testcopy Ubuntu:14.04 sleep 360 

$ docker exec -ti testcopy /bin/bash 

root@b81793e9eb3e:/# cd /root 


root@b81793e9eb3e:~# echo 'I am in the container' > file.txt 
root@b81793e9eb3e:~# exit 


要 将 在 容器 中 创建 的 这 个 文件 复制 到 宿主 机 上 ， 使 用 docker cp 即 可 ， 如 下 所 示 。 


$ docker cp testcopy:/root/file.txt . 
$ cat file.txt 
I am in the container 


要 想 将 文件 从 宿主 机 复制 到 容器 ， 仍 然 可 以 使 用 docker cp 命令， 只 不 过 源 和 目的 文件 的 
参数 要 调换 一 下 位 置 ， 如 下 所 示 。 


$ echo 'I am in the host' > host.txt 
$ docker cp host.txt testcopy:/root/host.txt 


一 个 比较 好 的 使 用 场景 是 将 一 个 容器 中 的 文件 复制 到 另 一 个 容器 中 ， 这 可 以 通过 临时 先 将 
主机 作为 文件 的 中 转 站 ， 执 行 两 次 docker cp 命令 来 实现 。 比 如 ， 如 果 想 将 /root/file.txt 从 
两 个 运行 容器 中 的 cl 复制 到 c2， 可 以 使 用 下 面 的 命令 。 


$ docker cp ci1:/root/file.txt . 
$ docker file.txt c2:/root/file.txt 


1.20.3 ”讨论 
如 果 是 1.8 版 本 之 前 的 Docker，docker cp 还 不 支持 将 文件 从 宿主 机 复制 到 容器 中 。 不 过 
你 可 以 组 合 使 用 docker exec 和 一 些 shell 重 定向 ， 如 下 所 示 。 


$ echo 'I am in the host' > host.txt 

$ docker exec -i testcopy sh -c 'cat > /root/host.txt' < host.txt 
$ docker exec -i testcopy sh -c 'cat /root/host.txt' 

I am in the host 


现在 ， 新 版 本 的 Docker 已 经 不 需要 再 像 上 面 那样 麻烦 了 ,但 是 上 面 的 例子 很 好 地 展示 了 
docker exec 命令 的 强大 之 处 。 
1.20.4 参考 


。 该 范例 的 灵感 来 源 于 Grigoriy Chudnov (https:/medium.com/@gchudnov/copying-data-between- 
docker-containers-26890935da3f#.90yqiGxvl) 
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第 2 章 


创建 和 共享 镜像 





2.0 简介 


在 了 解 了 Docker 的 基本 用 法 之 后 ， 你 可 能 立刻 想 要 创建 自己 的 镜像 。 也 许 你 会 打包 现 有 
的 应 用 程序 ， 或 者 想 从 头 开始 利用 Docker 构建 一 个 全 新 的 镜像 。 本 章 将 会 介绍 如 何 构 建 
Docker 镜像 ， 以 及 如 何 跟 别人 共享 你 的 镜像 。 


创建 镜像 的 第 一 种 方法 是 使 用 docker commit 命令 。 你 可 以 使 用 基础 镜像 启动 一 个 容器 ， 
并 以 交互 方式 对 容器 进行 更 改 。Docker 可 以 让 你 通过 提交 (commit) 将 这 些 变 更 保存 到 一 
个 新 的 镜像 中 (参见 范例 2.1)。 在 这 些 操作 的 背后 ，Docker 会 使 用 联合 文件 系统 创建 一 个 
镜像 层 ， 来 保存 基础 镜像 和 新 创建 镜像 之 间 的 差异 。 你 可 以 简单 地 将 这 个 镜像 导出 为 tar 
文件 后 发 送 给 他 人 来 共享 这 个 镜像 (参见 范例 2.2)。 


但 是 通过 手动 修改 容器 然后 提交 它们 来 创建 镜像 并 不 适合 再 现 ， 而 且 也 不 是 自动 化 的 。 一 
个 更 好 的 方法 是 创建 一 个 Dockerfile 文件 ， 然 后 让 Docker 自动 构建 镜像 (参考 范例 2.3)。 
你 可 以 在 范例 2.4 中 看 到 如 何 为 基于 Python 的 简单 的 Flask 应 用 程序 创建 Dockerfile， 在 范 
例 2.5 中 ， 你 将 会 学 习 到 关于 优化 Dockerfile 的 最 佳 实践 。 

如 果 你 之 前 曾经 使 用 过 Vagrant 和 Packer， 那 么 你 可 能 会 想 要 浏览 一 下 范例 2.7 和 范例 
2.8。 这 样 ， 你 就 可 以 重用 你 已 有 的 配置 管理 资产 构建 Docker 镜像 ， 且 更 容易 接受 Docker。 
通过 导出 和 导入 功能 共享 镜像 虽然 也 能 很 好 地 工作 ， 但 是 你 应 该 利用 Docker Hub 来 与 他 
人 共享 镜像 ， 将 Docker 集成 到 持续 集成 工作 流 中 。Docker Hub (参见 范例 2.9) 是 一 个 应 
用 程序 镜像 仓库 。Docker Hub 上 的 镜像 可 以 公开 共享 给 他 人 ， 也 可 以 通过 与 代码 托管 服务 
(比如 GitHub 和 Bitbucket) 集成 进行 自动 镜像 构建 (参见 范例 2.12) 。 


最 后 ， 如 果 你 不 想 使 用 Docker Hub， 也 可 以 部 署 自 己 私 有 的 Docker 镜像 registry (参见 范 
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例 2.11)， 并 建立 自己 的 自动 化 构建 (范例 2.13)。 

学 完 本 章 ， 你 将 能 够 为 不 同 的 应 用 程序 和 服务 编写 Dockerfile， 并 通过 类 似 Docker Hub 这 
样 的 托管 服务 或 者 你 自己 的 Docker registry 共享 镜像 。 这 将 帮助 你 快速 地 搭建 持续 集成 和 
部 署 工作 流 。 


2.1 将 对 容器 的 修改 提交 到 镜像 


2.1.1 问题 


在 容器 内 部 进行 一 些 修改 之 后 ， 你 想 将 这 些 修改 保存 下 来 。 你 不 想 在 退出 或 者 停止 这 个 容 
器 后 丢失 这 些 修改 ， 并 且 你 还 想 将 这 些 修改 作为 其 他 容器 的 基础 进行 重用 。 


2.1.2 解决 方案 
通过 docker commit 命令 提交 你 对 容器 作出 的 修改 ， 并 创建 一 个 新 镜像 。 
让 我 们 以 交互 式 bash shell 的 方式 启动 一 个 容器 ， 并 更 新 其 中 的 软件 包 ， 如 下 所 示 。 


$ docker run -t -i ubuntu:14.04 /bin/bash 
root@69079aaaaab1:/# apt-get update 


当 你 退出 容器 后 ， 容 器 会 停止 运行 ， 但 容器 还 在 ， 直 到 你 通过 docker rn 命令 彻底 将 容器 
从 系统 中 删除 。 所 以 在 删除 容器 之 前 ， 可 以 提交 对 容器 作出 的 修改 ， 并 以 此 创建 一 个 新 的 
镜像 ubuntu:update。 镜 像 的 名 称 为 ubuntu， 同 时 添加 了 一 个 标签 update (参见 范例 2.6)， 
以 与 ubuntu:latest 镜像 加 以 区 分 。 

$ docker commit 69079aaaaab1 ubuntu:update 
13132d42da3cc40e8d8b4601a7e2f4dbf198e9d72e37e19ee1986c280ffcb97c 

$ docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
ubuntu update 13132d42da3c 5 days ago 213 MB 

































































现在 你 就 可 以 安全 地 删除 已 经 停止 的 容器 了 ， 同 时 也 可 以 基于 刚 创建 的 ubuntu:update 镜像 
启动 新 的 容器 。 


2.1.3 讨论 
可 以 通过 docker diff 命令 来 查看 在 容器 中 对 镜像 作出 的 修改 ， 如 下 所 示 。 


$ docker diff 69079aaaaab1 

C /root 

A /root/.bash_history 

C /tmp 

C /var 

C /var/cache 

C /var/cache/apt 

D /var/cache/apt/pkgcache.bin 








D /var/cache/apt/srcpkgcache.bin 
C /var/Lib 

C /var/lib/apt 

C /var/lib/apt/lists 


A 表示 文件 或 者 文件 夹 是 新 增加 的 ，C 表示 文件 内 容 有 修改 ，D 则 表示 该 项 目 已 经 删除 。 


2.1.4 参考 


。 docker commit 参考 手册 (https://docs.docker.com/reference/commandline/cli/#commit) 
。 docker diff 参考 手册 (https://docs.docker.conm/reference/commandline/cli/#diff) 


2.2 ”将 镜像 和 容器 保存 为 tar 文 件 进行 共享 


2.2.1 问题 
你 创建 了 一 些 镜像 ， 或 者 有 一 些 容器 ， 你 希望 能 将 它们 保存 下 来 并 与 你 的 同伴 共享 。 


2.2.2 ”解决 方案 


对 于 已 有 镜像 ， 可 以 使 用 Docker 命令 行 的 save 和 Load 命令 来 创建 一 个 压缩 包 (tarball) ; 
而 对 于 容器 ， 可 以 使 用 import 和 export 进行 导入 导出 操作 。 


让 我 们 从 一 个 停止 的 容器 开始 ， 将 它 导出 为 一 个 新 的 压缩 包 文件 ， 如 下 所 示 。 


$ docker ps -a 




















CONTAINER ID IMAGE COMMAND CREATED ea NAMES 
77d9619a7a71 ubuntu:14.04 "/bin/bash" 10 seconds ago ... high shockley 
$ docker export 77d9619a7a71 > update.tar 

$ 1s 

update. tar 





可 以 在 本 地 将 容器 提交 为 一 个 新 镜像 (参见 范例 2.1) ， 但 是 也 可 以 使 用 Docker import 命 
令 ， 如 下 所 示 。 
$ docker import - update < Update.tar 
157bcbb5fdfcege7c1oef67ebdba737a491214708a5f266a3c74aa6b0cfde078 
$ docker images 


REPOSITORY TAG IMAGE ID ed VIRTUAL SIZE 
update latest 157bcbbsfdfc ... 188.1 MB 


如 果 想 和 你 的 同伴 共享 这 个 镜像 ， 可 以 将 这 个 镜像 上 传 到 一 个 Web 服务 器 ， 你 的 同伴 将 这 

个 镜像 下 载 之 后 再 通过 Docker 的 import 命令 将 镜像 导入 本 地 即 可 。 

如 果 要 对 你 通过 提交 操作 创建 的 镜像 进行 导入 导出 ， 可 以 使 用 Load 和 save 命令 ， 如 下 所 示 。 
$ docker save -0o Updatel.tar update 


$ls-l 
total 385168 





























-rw-rw-r-- 1 vagrant vagrant 197206528 Jan 13 14:13 update1.tar 
-rw-rw-r-- 1 vagrant vagrant 197200896 Jan 13 14:05 update.tar 

$ docker rmi update 

Untagged: update:latest 

Deleted: 157bcbb5fdfcege7c1loef67ebdba737a491214708a5f266a3c74aa6b0cfde078 
$ docker Load < updatel.tar 

$ docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
update latest 157bcbb5fdfc 5 minutes ago 188.1 MB 
Ubuntu 14.04 8eaa4ff06b53 12 days ago 192.7 MB 


2.2.3 讨论 
这 两 种 方法 非常 相似 。 不 同 的 是 ， 保 存 一 个 镜像 会 保留 它 的 历史 ， 而 导出 
史 进 行 压缩 。 


2.3 编写 你 的 第 一 个 Dockerfile 


2.3.1 问题 


以 交互 方式 启动 一 个 容器 ， 在 里 面 对 容 器 进行 修改 ， 将 修改 后 的 容器 提交 为 镜像 ， 这 样 也 
能 正常 工作 (参见 范例 2.1) 。 但 是 你 想 自动 构建 镜像 ， 并 且 将 构建 步骤 与 他 人 共享 。 


2.3.2 ”解决 方案 


要 想 自动 构建 Docker 镜像 ， 你 需要 通过 一 个 名 为 Dockerfile 的 说 明文 件 来 描述 镜像 构建 的 
步骤 。 这 个 文本 文件 使 用 一 组 指令 来 描述 以 下 各 项 内 容 : 新 镜像 的 基础 镜像 ， 为 了 安装 不 
同 的 依赖 和 应 用 程序 需要 执行 哪些 操作 步 又， 镜像 中 需要 提供 哪些 文件 ， J 
复制 到 镜像 中 的 ， 要 暴露 哪些 端口 ， 以 及 在 新 的 容器 中 启动 时 默认 运行 什么 命令 ， 此 外 还 
有 一 些 其 他 的 内 容 。 


为 了 对 此 进行 说 明 ， 让 我 们 开始 编写 我 们 的 第 一 个 Dockerfile。 从 该 Dockerfile 构建 的 镜像 
启动 新 的 容器 时 ， 会 执行 /bin/echo 命令 。 在 当前 工作 目录 中 创建 一 个 名 为 Dockerfile 的 
文本 文件 ， 文 件 内 容 如 下 所 示 。 


FROM ubuntu:14.04 


Bl 


站 





将 对 它 的 历 


3 


















































ENTRYPOINT ["/bin/echo"] 


FROM 指令 指定 了 新 的 镜像 以 哪个 镜像 为 基础 开始 构建 。 这 里 我 们 选择 了 ubuntu:14.04 镜像 
作为 基础 镜像 。ubuntu:14.04 是 来 自 Docker Hub 上 由 Ubuntu 官方 提供 的 镜像 仓库 (https:/ 
Tegistry.hub.docker.com/_/ubuntu/) 。ENTRYPOINT 指令 设置 了 从 该 镜像 创建 的 容器 人 
执行 的 命令 。 要 想 构 建 这 个 镜像 ， 可 以 在 命令 行 提 示 符 下 键入 docker build . 命令, 如 下 
所 示 。 





























$ docker build . 
Sending build context to Docker daemon 2.56 kB 
Sending build context to Docker daemon 
Step 0 : FROM ubuntu:14.04 
--> 9bd07e480c5b 
Step 1 : ENTRYPOINT /bin/echo 
--> Running in da3fa01c973a 
--> e778362ca7cf 
Removing intermediate container da3fa01c973a 
Successfully built e778362ca7cf 
$ docker images 


REPOSITORY TAG IMAGE ID 吕 尖 过 VIRTUAL SIZE 
<none> <none> e778362ca7cf ... 192.7 MB 
ubuntu 14.04 9bd07e480c5b 二 192.7 MB 





现在 就 可 以 基于 新 构建 的 镜像 启动 容器 了 ， 你 需要 指定 刚刚 创建 的 镜像 的 ID 并 指定 一 个 
参数 〈( 即 Ht Docker !) ， 如 下 所 示 。 


$ docker run e778362ca7cf Hi Docker ! 








Hi Docker ! 
非常 神奇 ， echo 命令 ! 这 里 你 基于 上 面 由 只 有 两 行 的 Dockerfile 构建 
的 镜像 创建 了 一 个 ， 该 容器 开始 运行 并 执行 了 由 ENTRYPOINT 指令 所 定义 的 命令 。 当 这 


个 命令 结束 之 后 ， 容器 的 工作 也 即 告 结束 并 退出 ， 如 果 再 次 运行 上 述 命令 但 是 不 指定 任何 
参数 ， 那 么 就 不 会 有 任何 内 容 回 显 出 来 ， 如 下 所 示 。 


$ docker run e778362ca7cf 
你 也 可 以 在 Dockerfile 文件 中 使 用 cMD 指令。 使 用 该 指令 的 优点 是 ， 你 可 以 在 启动 容器 时 ， 


通过 在 docker run 命令 后 面 指定 新 的 CMD 参数 来 覆盖 Dockerfile 文件 中 设置 的 内 容 。 让 我 
们 使 用 cMD 指令 来 构建 一 个 新 镜像 ， 如 下 所 示 。 


FROM Ubuntu:14.04 


























CMD ["/bin/echo" , "Hi Docker !"] 


构建 这 个 镜像 并 运行 它 ， 如 下 所 示 。 
$ docker build . 





$ docker run eff764828551 
Hi Docker ! 


在 上 面 的 构建 命令 中 ,我们 指定 了 当前 文件 夹 路 径 。 这 时 候 Docker 会 自动 使 
用 刚才 创建 的 Dockerfile 文件 。 如 果 希 望 在 构建 镜像 的 时 候 使 用 在 其 他 位 置 
保存 的 Dockerfile， 可 以 使 用 docker build 命令 的 -f 参数 来 指定 Dockerfile 
文件 的 位 置 。 












































上 面 的 操作 看 起 来 与 之 前 的 例子 一 模 一 样 ， 但 是 ， 如 果 在 docker run 命令 后 面 指定 一 个 其 
他 的 可 执行 命令 ， 那 么 该 命令 就 会 被 执行 ， 而 不 是 执行 在 Dockerfile 文件 中 定义 的 /bin/ 
echo 命令 ， 如 下 所 示 。 


























$ docker run eff764828551 /bin/date 
Thu Dec 11 02:49:06 UTC 2014 


2.8;8 讨论 

Dockerfile 是 一 个 文本 文件 ， 它 定义 了 一 个 镜像 是 如 何 构建 的 ， 以 及 基于 该 镜像 创建 的 容 
器 运行 时 会 进行 什么 处 理 。 通 过 FROM、ENTRYPOINT 和 CMD 这 三 个 简单 的 指令 ， 你 已 经 可 
以 构建 一 个 能 完全 正和 营 工 作 的 镜像 了 。 当 然 ， 我 们 在 该 范例 中 也 只 是 介绍 了 这 三 个 指令 而 
已 ， 你 可 以 通过 阅读 Dockerfile 参考 手册 (https://docs.docker.com/reference/builder/) 学 习 
一 下 其 他 指令 ， 或 者 在 范例 2.4 中 看 一 个 更 详细 的 例子 。 


CentOS 项 目 维护 着 很 多 Dockerfile 的 例子 。 可 以 在 该 项 目的 代码 仓库 
(https://github.com/CentOS/CentOS-Dockerfiles) 中 查看 这 些 例子 ， 并 通过 运 
行 其 中 的 一 些 例子 来 加 深 对 Dockerfile 文件 的 理解 。 





























请 记 住 ，CMD 可 以 通过 docker run 后 面 的 参数 来 履 盖 ， 而 ENTRYPOINT 只 能 通过 docker run 
的 --entrypoint 参数 来 覆盖 。 同 时 你 也 看 到 了 ， 当 命令 结束 时 ， 容 器 也 退出 了 。 也 就 古 
说 ， 你 希望 在 容器 中 运行 的 进程 需要 以 前 台 方 式 来 运行 ， 否 则 ， 容 器 会 停止 。 

当 第 一 次 构建 结束 时 ， 新 的 镜像 也 构建 完成 了 。 在 这 个 例子 中 ， 新 的 镜像 ID 是 
e778362ca7cf。 请 注意 ， 新 的 镜像 并 没有 仓库 名 和 标签 信息 ， 因 为 在 构建 时 我 们 并 没有 指 
定 这 些 信息 。 可 以 重新 构建 该 镜像 ， 通 过 docker build 命令 的 -t 参数 将 仓库 名 设置 为 
cookbook， 将 标签 设置 为 hetllo。 由 于 这 些 操 作 都 是 在 本 地 进行 的 ， 所 以 你 可 以 随意 对 镜 
像 仓库 和 标签 进行 命名 。 但 是 ， 如 果 你 想 将 该 镜像 发 布 到 镜像 registry， 就 需要 遵循 一 定 的 
命名 约定 。 


$ docker build -t cookbook:hello . 
$ docker images 


























REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
cookbook hello e778362ca7cf 4 days ago 192.7 MB 
ubuntu 14.04 9bd07e480c5b 10 days ago 192.7 MB 


docker ”build 命令 有 几 个 选项 可 以 用 来 设置 如 何 处 理 构 建 过程 中 的 临时 容 
器 ， 如 下 所 示 。 


$ docker build -h 











Usage: docker build [OPTIONS] PATH | URL | - 


Build a new image from the source code at PATH 


--force-rm=false Always remove intermediate containers... 
--no-cache=faLse Do not use cache when building the ... 

-q, --quiet=false Suppress the verbose output generated... 
--rm=true Remove intermediate containers after ... 
-七 ，- -tag="" Repository name (and optionally a tag)... 








2.3.4 参考 


。 Dockerfile 参考 文档 (https://docs.docker.com/reference/builder/) 

。 编写 Dockerfile 的 最 佳 实践 (https://docs.docker.com/articles/dockerfile_best-practices/ ) 

。 CentOS 项 目 中 提供 的 大 量 Dockerfile 文件 示例 (https://github.com/CentOS/CentOS- 
Dockerfiles) 


2.4 将 Flask 应 用 打包 到 镜像 


2.4.1 问题 


你 有 一 个 基于 Python 框架 Flask (http://flask.pocoo.org) 编写 的 Web 应 用 程序 ， 该 程序 运 
行 于 Ubuntu 14.04 之 上 。 你 希望 在 容器 中 运行 这 个 应 用 。 


2.4.2 ”解决 方案 


这 里 我 们 使 用 一 个 很 简单 的 Hello World (http://flask.pocoo.org) 应 用 为 例 进行 说 明 ， 其 
Python 代码 如 下 所 示 。 


#!/usr/bin/env python 


























from flask import Flask 
app = Flask(__name__) 


@app.route('/hi') 
def hello_ world(): 
return 'Hello NorLd! 


if __name__ == main__': 


app.run(host=" 6.0.0.0， ，port=5000) 


为 了 让 这 个 应 用 程序 能 够 在 Docker 容器 中 运行 ， 你 需要 编写 一 个 Dockerfile 文件 ， 在 
Dockerfile 文件 中 使 用 RUN 指令 来 安装 运行 该 程序 所 需要 的 软件 ， 使 用 EXPOSE 指令 将 应 用 
程序 监听 的 端口 暴露 给 外 部 。 同 时 你 需要 使 用 ADD 指令 将 应 用 程序 复制 到 容器 内 的 文件 系 
统 上 。 

这 个 应 用 程序 的 Dockerfile 如 下 所 示 。 


FROM Ubuntu:14.04 

















RUN apt-get update 

RUN apt-get install -y python 
RUN apt-get instaLL -y python-pip 
RUN apt-get clean all 


RUN pip install flask 


ADD hello.py /tmp/hello.py 





EXPOSE 5000 
CMD ["python","/tmp/hello.py"] 


这 里 我 们 并 没有 刻意 对 Dockerfile 文件 进行 优化 。 当 你 理解 了 Dockerfile 的 基本 概念 之 后 ， 
可 以 参考 范例 2.5 来 根据 编写 Dockerfile 的 最 佳 实践 构建 镜像 。RUN 指令 允许 你 在 构建 镜像 
过 程 中 执行 指定 的 shell 命令 。 在 这 个 例子 中 我 们 更 新 了 仓库 缓存 ， 安 装 了 Python 和 Pip， 
然后 安装 了 Flask 微 框架 。 


过 ADD 命令 可 以 将 应 用 程序 复制 到 镜像 内 。 这 里 将 hello.py 文件 复制 到 了 /tmp/ 文件 夹 下 。 
这 个 应 用 程序 使 用 了 5000 端口 ， 并 将 这 个 端口 暴露 给 了 Docker 主机 。 
最 后 通过 CMD 指令 设置 了 容器 启动 时 将 会 执行 的 命令 python /tmp/hello.py。 
剩 下 的 工作 就 是 构建 镜像 了 ， 如 下 所 示 。 
$ docker build -t flask . 
该 命令 将 会 创建 一 个 flask Docker 镜像 ， 如 下 所 示 。 


$ docker images 









































同 








REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
flask latest d381310506ed 4 days ago 354.6 MB 
cookbook echo e778362ca7cf 4 days ago 192.7 MB 
Ubuntu 14.04 9bd07e480c5b 10 days ago 192.7 MB 


局 动容 器 时 ， 使 用 docker run 的 -d 选 项， 这 将 会 让 容器 以 后 台 守 护 方 式 运行 ，docker run 
的 -P 选项 告诉 Docker 在 宿主 机 上 选择 一 个 端口 并 映射 到 在 Dockerfile 中 设置 的 端口 ( 比 
如 5000) 。 


$ docker run -d -P flask 
5ac72ed12a72fge2bec0001b3e78f11660905d20f40e670d42aee292263cb890 








$ docker ps 
CONTAINER ID IMAGE COMMAND ... PORTS 
5ac72ed12a72 flask:latest "python /tmp/hello.p ... 0.0.0.0:49153->5000/tcp 


该 容器 会 进入 后 台 方 式 并 立即 返回 ， 你 不 会 登录 到 交互 式 shell 中 。PORTS 字段 显示 了 容器 
中 的 5000 端口 被 映射 到 了 Docker 宿主 机 的 49153 端口 上 。 简 单 地 通过 curl 命令 访问 http:// 
localhost:49153/hi 会 看 到 Hello Wortld 输出 结果 ,或 者 你 也 可 以 在 浏览 器 中 打开 这 个 URL。 

如 果 你 正在 使 用 Boot2Docker， 那 么 你 需要 将 LocaLhost 替换 为 网 桥 设 备 的 

IP 地址 。 如 果实 在 想 使 用 LocaLhost， 可 以 在 VirtualBox 中 增加 一 条 端口 转 

发 规则 。 

















2.4.3 讨论 

由 于 你 已 经 在 Dockerfile 中 通过 CMD 指令 设置 了 容器 要 运行 的 命令 ， 所 以 在 启动 容器 的 时 
候 没 有 必要 在 镜像 名 后 面 指定 要 运行 的 命令 。 但 是 你 可 以 覆盖 这 个 默认 运行 的 命令 ， 在 启 
动容 器 时 运行 bash shell 进入 交互 模式 ， 如 下 所 示 。 











$ docker run -t -i -P flask /bin/bash 
rootQGfc1514ced93e:/# ls -1 /tmp 

total 4 

-rw-r--r-- 1 root root 194 Dec 8 13:41 hello.py 
root@fc1514ced93e: /# 


2.5 根据 最 佳 实践 优化 Dockerfile 


2.5.1 问题 
你 希望 根据 最 佳 实践 来 编写 Dockerfile， 优 化 你 的 Docker 镜像 。 


2.5.2 解决 方案 


Docker 文档 发 布 了 关于 如 何 编写 Dockerfile 的 最 佳 实践 (https://docs.docker.com/articles/ 
dockerfile_best-practices/) 。 本 范例 将 会 选择 其 中 几 条 来 帮助 你 构建 恨 好 的 镜像 。 


(1) 在 每 个 容器 中 只 运行 一 个 进程 。 虽 然 你 也 可 0 (比如 范例 
1.15)， 但 是 在 一 个 容器 中 运行 一 个 进程 或 者 单一 功能 的 服务 ， 可 以 帮助 你 更 好 地 对 应 
用 进行 解压 和 扩展 。 利 用 容器 链接 (参见 范例 或 者 其 他 容器 网 络 技术 (参见 第 3 
章 ) i a 

(2) 不 要 以 为 你 的 容器 将 会 长 久 存在 : 它们 是 临时 的 ， 会 被 停止 和 重新 启动 。 你 应 该 把 它 
们 当 作 不 可 变 的 实体 ， 这 意味 着 你 不 应 该 对 其 进行 修改 ， a ne ne 已 
们 。 因 此 ， 需 要 将 运行 时 配置 和 数据 独立 于 容器 和 镜像 进行 管理 。 你 可 以 通过 Docker 
volume (参见 范例 1.18 和 范例 1.19) 对 数据 进行 管理 。 

(3) 使 用 .dockerignore 文件 。 在 镜像 构建 过 程 中 ，Docker 会 将 Dockerfile 所 在 文件 夹 下 的 内 
容 〈 即 build context) 复制 到 构建 环境 中 。 使 用 .dockerignore 文件 可 以 将 指定 文件 或 者 
文件 夹 在 镜像 构建 时 从 文件 复制 列表 中 排除 。 如 果 你 不 使 用 .dockerignore 文件 ， 请 确 
保 在 只 有 所 需 最 小 集合 的 文件 夹 下 构建 镜像 。 请 参考 一 下 .dockerignore 的 语法 (https:// 
docs.docker.com/reference/builder/#dockerignore-file ) 。 

(4) 利用 Docker Hub 的 官方 镜像 (https://registry.hub.docker.com/search?q=library) ， 而 不 是 
自己 从 头 编 写 。 这 些 镜 像 由 软件 的 开发 人 员 负 责 维护 和 保障 。 你 也 可 以 使 用 ONBUILD 镜 
像 (参见 范例 2.10) 来 进一步 简化 你 的 镜像 。 

(5) 最 后 ， 最 大 限度 地 减少 镜像 层 的 数量 ， 并 利用 镜像 缓存 的 优点 。Docker 使 用 联合 文件 
系统 存储 镜像 。 这 意味 着 每 个 镜像 都 由 一 个 基础 镜像 和 一 组 添加 了 必要 修改 的 变更 构 
成 。 每 个 变更 都 表示 一 个 额外 的 镜像 层 。 这 对 你 编写 Dockerfile 以 及 如 何 使 用 各 种 指令 
会 产生 直接 影响 。 随 后 的 内 容 将 会 进一步 对 此 进行 说 明 。 


2.5.3 讨论 
在 范例 2.4 中 ， 你 编写 了 自己 的 第 一 个 Dockerfile， 包 括 以 下 指令 


FROM Ubuntu:14.04 








































































































RUN apt-get Update 





RUN apt-get install -y python 

RUN apt-get install -y python-pip 
RUN apt-get clean 

RUN pip install flask 


ADD hello.py /tmp/hello.py 


这 个 文件 包含 了 一 些 错 误 ， 应 该 根据 上 面 的 最 佳 实践 进行 修改 。 

使 用 官方 镜像 ubuntu:14.04 是 一 个 好 的 做 法 。 但 是 ， 在 这 之 后 你 使 用 了 多 条 RUN 指令 安装 
了 一 些 软 件 包 。 这 是 一 个 不 好 的 实践 ， 它 将 会 向 镜像 增加 不 必要 的 镜像 层 数 。 你 也 通过 
ADD 指令 复制 了 一 个 简单 的 文件 。 实 际 上 ， 在 这 个 例子 里 ， 更 应 该 使 用 COPY 指令 (ADD 用 
于 更 复杂 的 文件 复制 场景 ) 。 

因此 ， 这 个 Dockerfile 应 该 像 下 面 这 样 进 行 改 写 。 


FROM ubuntu:14.04 




















RUN apt-get update && apt-get install -y \ 
python 
python-pip 

RUN pip install flask 


COPY hello.py /tmp/hello.py 


你 还 可 以 通过 使 用 官方 Python 镜像 ， 来 进一步 对 这 个 Dockerfile 进行 优化 ， 如 下 所 示 。 
FROM python:2.7.10 
RUN pip install flask 
COPY hello.py /tmp/hello.py 

当然 你 并 不 需要 做 到 这 种 地 步 ， 这 只 是 让 你 对 如 何 优化 Dockerfile 有 更 深入 的 体会 。 要 


想 获 得 更 详细 的 信息 ， 可 以 参考 官方 推荐 的 最 佳 实践 (https://docs.docker.com/articles/ 
dockerfile_best-practices/) 。 


2.6 ”通过 标签 对 镜像 进行 版 本 管理 


2.6.1 问题 


你 创建 了 多 个 镜像 以 及 同一 个 镜像 的 多 个 版 本 。 你 希望 通过 采取 某 种 方式 来 对 镜像 和 镜像 
的 版 本 进行 跟踪 ， 而 不 是 使 用 镜像 ID。 























2.6.2 ”解决 方案 
通过 docker tag 命令 为 镜像 打 标 签 。 这 允许 你 对 已 有 镜像 进行 重 命名 ， 或 者 为 同一 个 镜像 
名 创建 新 的 标签 。 
在 通过 提交 容器 创建 镜像 (参见 范例 2.1) 时 你 已 经 使 用 过 标签 了 。 镜 像 的 命名 规则 会 将 
冒号 后 面 的 所 有 内 容 看 作 镜 像 的 标签 。 

镜像 标签 是 可 选 的。 如果 你 没有 指定 标签 ，Docker 会 默认 使 用 Latest 作为 


标签 。 如 果 指 定 镜像 的 标签 在 镜像 仓库 中 不 存在 ， 那 么 下 载 Docker 镜像 将 
会 失败 。 





























举例 来 说 ， 让 我 们 将 ubuntu:14.04 镜像 重 命名 为 foobar。 这 里 没有 指定 标签 ， 而 只 是 修改 
了 镜像 名 ， 因 此 Docker 会 自动 使 用 Latest 标签 。 


$ docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
ubuntu 14.04 9bd67e480c5b 12 days ago 192.7 MB 


$ docker tag Ubuntu foobar 
2014/12/17 09:57:48 Error response from daemon: No such id: ubuntu 


$ docker tag Ubuntu:14.04 foobar 


$ docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
foobar latest 9bd07e480c5b 12 days ago 192.7 MB 
Ubuntu 14.04 9bd67e480c5b 12 days ago 192.7 MB 





在 上 面 的 例子 中 ， 你 最 先 会 看 到 的 是 ， 当 你 尝试 给 ubuntu 镜像 打 标 签 时 ，Docker 抛 出 
错误 。 这 是 因为 ubuntu 镜像 只 有 一 个 14.04 标签 ， 而 没有 latest 标签 。 在 你 的 第 二 条 命令 
中 ， 你 通过 冒号 为 这 个 镜像 指定 了 本 地 已 有 的 标签 ， 打 标签 操作 成 功 了 。 Docker 创建 了 一 
个 新 的 名 为 foobar 的 镜像 ， 并 自动 添加 了 latest 标签 。 如 果 你 在 新 的 镜像 名 后 面 使 用 冒号 
为 镜像 设置 一 个 标签 ， 那 么 你 会 得 到 下 面 的 结果 。 


$ docker tag ubuntu:14.04 foobar:cookbook 















































$ docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
foobar cookbook 9bd07e480c5b 12 days ago 192.7 MB 
foobar Latest 9bd07e480c5b 12 days ago 192.7 MB 
Ubuntu 14.04 9bd607e480c5b 12 days ago 192.7 MB 

















到 目前 为 止 ， 我们 使 用 的 所 有 镜像 都 在 Docker 宿主 机 本 地 。 但 是 ， 如 果 你 想 通 过 registry 
来 共享 镜像 ， 就 需要 为 镜像 设置 合适 的 名 称 。 特 别 是 如 果 你 将 镜像 上 传 到 Docker Hub 
(https:Whub.docker.com) ， 就 必须 遵循 USERNAME/NAME 的 格式 。 当 使 用 私有 registry 时 ， 
还 需要 指定 registry 的 主机 名 、 一 个 可 选 的 用 户 名 和 镜像 的 名 称 ( 即 REGISTRYHOST/ 
USERNAME/NAME)。 当 然 ， 这 时 候 你 仍然 可 以 使 用 标签 ( 即 :TAG ) 。 
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2.6.3 讨论 

正确 地 设置 镜像 标签 是 在 Docker Hub (参见 范例 2.9) 或 私有 registry (参见 范例 2.11) 上 
共享 镜像 的 重要 组 成 部 分 。docker tag 命令 的 帮助 信息 很 简洁 ， 它 显示 了 Docker 镜像 的 
命名 规则 ， 即 如 何 指定 正确 的 命名 空间 ， 可 以 是 一 个 本 地 的 镜像 ， 或 者 在 Docker Hub 上 ， 
或 者 在 私有 registry 上 ， 如 下 所 示 。 


$ docker tag -h 








Usage: docker tag [OPTIONS] IMAGE[:TAG] [REGISTRYHOST/][USERNAME/]NAME[ :TAG] 
Tag an image into a repository 


-f, --force=false Force 


2.7 ”使 用 Docker provider 从 Vagrant 迁 移 到 Docker 


2.7.1 问题 


你 一 直 在 使 用 Vagrant (http://vagrantup.com) 来 进行 测试 和 开发 ， 同 时 你 想 在 Docker 中 重 
用 一 些 你 的 Vagrantfile 文件 。 


2.7.2 解决 方案 


使 用 Vagrant Docker provider (https://docs.vagrantup.com/v2/docker/index.html)。 你 可 以 继 
续 编写 Vagrantfile 文件 来 创建 新 的 容器 并 编写 你 的 Dockerfile 文件 。 


下 面 是 一 个 使 用 Docker provider 的 Vagrantfile 文件 示例 。 





























# -*- mode: ruby -*- 
# vi: set ft=ruby : 


VAGRANTFILE_API_VERSION = "2" 
Vagrant.configure(VAGRANTFILE API_VERSION) do |config| 
config.vm.provider "docker" do |d| 
d.build dir = "." 
end 


config.vm.network "forwarded_port", guest: 5000, host: 5000 


end 


build_dir 选项 指定 了 在 与 Vagrantfile 相同 的 文件 夹 下 面 查 找 Dockerfile 文件 。 之 后 
Vagrant 将 会 执行 docker build 命令 并 启动 容器 ， 如 下 所 示 。 
$ vagrant up --provider=docker 


Bringing machine 'default' up with 'docker' provider... 
==> default: Building the container from a Dockerfile... 








default: Sending build context to Docker daemon 8.704 kB 
default: Step 0 : FROM ubuntu:14.04 


==> default: Creating the container... 
default: Name: provider_default_1421147689 
default: Image: 324f2babf057 
default: VoLume: /vagrant/provider:/vagrant 
default: Port: 5000:5000 
default: 
default: Container created: efe11i1iafb8b9d3ff 
==> default: Starting container... 
==> default: Provisioners will not be run since container doesn't support SSH. 


在 vagrant up 命令 执行 完成 之 后 ， 容 器 就 会 开始 运行 ， 并 构建 一 个 新 的 镜像 。 可 以 使 用 
普通 的 Docker 命令 与 这 个 容器 进行 交互 ， 或 者 使 用 新 的 vagrant docker-Logs 和 vagrant 
docker-run 命令 。 标 准 的 命令 (比如 vagrant status 和 vagrant destroy) 也 可 以 与 新 的 
容器 一 起 使 用 。 





也 许 你 并 不 希望 在 容器 中 安装 SSH。 因 此 ，Vagrant provisioner 不 会 运行 。 需 
要 通过 Dockerfile 来 安装 任何 想 在 容器 中 使 用 的 软件 。 

















2.7.3 讨论 
为 了 帮助 你 实验 该 范例 的 内 容 ， 我 创建 了 一 个 简单 的 实验 环境 。 与 其 他 范例 一 样 ， 你 可 
以 克隆 本 书 附带 的 Git 仓库 ， 并 进入 本 范例 的 例子 所 在 的 文件 夹 。 这 个 例子 会 启动 一 个 
Ubuntu 14.04 的 虚拟 机 ， 里 面 安 装 了 Docker 和 Vagrant。 在 /vagrant/provider 文件 夹 下 ， 你 
会 发 现 另 一 个 Vagrantfile (在 前 面 出 现 过 )， 以 及 一 个 Dockerfile。 这 个 Dockerfile 将 会 构 
建 一 个 简单 Flask 应 用 的 镜像 ， 如 下 所 示 。 

$ git clone 

$ cd ch092/vagrantprovider/ 

$ vagrant up 

$ vagrant ssh 


$ cd /vagrant/provider 
$ vagrant up --provider=docker 


Vagrantfile 文件 中 可 能 的 配置 几乎 与 Dockerfile 文件 中 的 指令 是 对 应 的 。 你 可 以 定义 
在 容器 中 安装 什么 软件 ， 传 递 什 么 环境 变量 ， 暴 露 哪些 端口 ， 链 接 到 哪些 容器 ， 挂 载 哪些 
卷 。 有 趣 的 是 ，Vagrant 会 试图 将 常规 的 Vagrant 配置 转换 为 Docker 的 运行 选项 。 例 如 ， 
将 Docker 容器 的 端口 转发 到 宿主 机 可 以 通过 下 面 的 Vagrant 常规 命令 。 

config.vm.network "forwarded port", guest: 5000, host: 5000 
总 的 来 说 ， 我 的 看 法 是 ， 如 果 你 已 经 在 Vagrant 中 投入 了 大 量 的 工作 ， 并 且 愿 意 逐 步 过 渡 
到 Docker， 那 么 Vagrant 对 Docker 的 支持 应 该 被 视 作 一 种 过 渡 步 又 。 












































Vagrant 也 提供 了 Docker provisioner (https://docs.vagrantup.com/v2/provisioning/ 
dockerhtml)。 当 你 在 启动 虚拟 机 ， 通 过 配置 管理 工具 (比如 Puppet 或 Chef) 
进行 provision 时 ， 如 果 还 想 在 虚拟 机 中 局 动容 器 ， 可 以 使 用 这 个 功能 














2.7.4 参考 


。 Vagrant Docker provider 配置 (https://docs.vagrantup.comy/v2/dockerconfiguration.html ) 
。 Vagrant Docker provider 文档 (https://docs.vagrantup.com/v2/docker/index.html) 


2.8 使 用 Packer 构 建 Docker 镜 像 


2.8.1 问题 


你 通过 Chef (http:/www.getchef.com)、Puppet (http://www.getchef.com)、 Ansible (http:/www. 
ansible.com/home) 或 SaltStack (http:Wwww.saltstack.com) 开发 了 一 些 配 置 管理 脚本 。 你 希 
望 使 用 这 些 配 置 脚本 来 构建 Docker 镜像 。 


2.8.2 解决 方案 


使 用 HashiCorp 的 Packer (https:/www.packer.io)。Packer 是 一 个 基于 单个 模板 定义 为 多 
个 平台 创建 相同 计算 机 镜像 的 工具 。 比 如 ， 你 可 以 基于 一 个 模板 自动 创建 适用 于 Amazon 
EC2 (一 个 AMI， 即 Amazon Machine Image)、VMware、VirtualBox 和 DigitalOcean 的 镜 
像 。Docker 也 是 Packer 所 支持 的 一 个 平台 


也 就 是 说 ， 如 果 你 创建 了 一 个 Packer 模板 ， 就 可 以 自动 生成 一 个 Docker 镜像 。 通 过 后 置 
处 理 ， 你 可 以 为 镜像 打 标 签 ， 以 及 将 镜像 推送 到 Docker Hub (参见 范例 2.9) 。 


下 面 的 模板 展示 了 三 个 主要 步骤 。 首 先 它 指定 了 一 个 构建 器 ， 这 里 使 用 了 Docker 并 且 指 
定 了 基础 镜像 ubuntu:14.04。 其 次 ， 它 定义 了 provisioning 步骤 。 这 里 我 们 使 用 了 一 个 简单 
的 shell 来 进行 provisioning。 最 后 是 后 置 处 理 步 又 ， 这 里 我 们 为 构建 的 镜像 打 了 标签 。 
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{ 
"builders": [ 
"type": "docker", 
"image": "ubuntu:14.04", 
"commit": "true" 
} 


]， 


"provisioners": [ 


"type": "shell", 
"script": "bootstrap.sh" 








"post-processors": [ 


{ 
"type": "docker-tag", 
"repository": "how2dock/packer", 
"tag": "latest" 
] 
} 





可 以 使 用 下 面 两 个 命令 来 验证 模板 的 正确 性 ， 并 构建 镜像 。 


$ packer validate template.json 
$ packer build template.json 











你 可 以 在 模板 中 设置 多 个 构建 器 ， 为 你 的 应 用 分 别 输出 不 同类 型 的 镜像 ( 比 


如 Docker 和 AMI)。 


中 


为 了 帮助 你 试用 Packer， 我 创建 了 一 个 Vagrantfile， 它 会 启动 一 台 Ubuntu 14.04 虚拟 机 ， 
并 在 其 中 安装 Docker， 下 载 Packer。 你 可 以 像 下 面 这 样 使 用 这 个 Vagrantfile。 


$ git clone https://github.com/how2dock/docbook.git 
$ cd ch02/packer 

$ vagrant up 

$ vagrant ssh 

$ cd /vagrant 

$ /home/vagrant/packer validate template.json 
Template validated successfully. 

$ /home/vagrant/packer build template.json 














==> docker: Creating a temporary directory for sharing data... 
==> docker: Pulling Docker image: ubuntu:14.04 


==> Builds finished. The artifacts of successful builds are: 

--> docker: Imported Docker image: 3ebae8e2f2a8af8f2c5f366c603091c5e9c8e234bff8 
--> docker: Imported Docker image: how2dock/packer :Latest 

$ docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
how2dock/packer latest 3ebae8e2f2a8 20 seconds ago 210.8 MB 
ubuntu 14.04 8eaa4ff06b53 11 days ago 192.7 MB 


在 这 个 例子 中 ， 你 可 以 直接 运行 Nginx (Nginx 镜像 已 经 通过 boostrap.sh 脚本 安装 ) 。 
$ docker run -d -p 80:80 how2dock/packer /usr/sbin/nginx -g "daemon off;" 
由 于 这 个 镜像 不 是 通过 Dockerfile 构建 的 ， 因 此 cMo 或 ENTRYPOINT 也 都 没有 定义 。 当 你 启 


动容 器 时 ，Nginx 也 不 会 自动 开始 运行 。 由 于 这 个 镜像 在 构建 时 没有 指定 如 何 运 行 Nginx， 
所 以 基于 这 个 镜像 创建 的 容器 在 启动 后 会 立即 结束 运行 。 











2.8.3 讨论 


Packer 是 一 个 非常 不 错 的 工具 ， 它 能 帮助 你 从 之 前 的 DevOps 工作 流 迁移 到 基于 Docker 
的 工作 流 。 但 是 Docker 容器 需要 以 前 台 方 式 运 行 应 用 ， 并 且 推 荐 在 一 个 容器 中 只 运行 一 
个 应 用 进程 。 因 此 ， 使 用 Packer 创建 的 镜像 可 能 包括 很 多 应 用 ， 比 如 MySQL、Nsginx 和 
WordPress， 这 将 违反 Docker 的 理念 ， 并 且 如 果 不 额 外 使 用 类 似 Supervisor (参见 范例 














1.15) 这 样 的 工具 ， 你 将 很 难 运行 多 个 进程 。 








让 




















上 面 的 例子 介绍 了 简单 的 基于 shell 的 provisioning 方式 。 如 果 你 之 前 就 有 一 些 配置 管理 
范例 ， 那 么 在 Packer 中 仍然 可 以 使 用 这 些 范例 来 构建 Docker 镜像 。Packer 支持 shell、 
Ansible、Chef、Puppet 和 Salt 等 provisioner (https://www.packer.io/docs/provisioners/shell. 























html) 。 举 例 来 说 ， 在 前 面 我 们 使 用 的 仓库 中 的 template-ansible.json 文 们 


地 provisioner。 修 改 后 的 Packer 模板 内 容 如 下 所 示 。 


{ 
"builders": [ 
{ 
"type": "docker", 
"image": "ansible/ubuntu14.04-ansible:stable", 
"commit": "true" 
} 


| 
"provisioners": [ 
{ 
"type": "ansible-local", 
"playbook_file": "local.yml" 
} 
J 
"post-processors": [ 
{ 
"type": "docker-tag", 
"repository": "how2dock/packer", 
"tag": "ansible" 
} 
] 
} 





FE 使 用 了 Ansible 本 





它 使 用 了 一 个 从 Docker Hub 拉 取 的 特殊 Docker 镜像 ， 这 个 镜像 安装 了 Ansible。Packer 会 
使 用 本 地 的 Ansible CLI 来 运行 Ansible 的 palybooklocal.yml。 这 个 playbook 在 模板 中 定 


义 ， 会 在 本 地 安装 Nginx， 如 下 所 示 。 


- hosts: localhost 
connection: local 
tasks: 
- Name: install nginx 
apt: pkg=nginx state=installed update_cache=true 





执行 Packer 的 构建 过 程 会 得 到 一 个 可 工作 的 镜像 ， 镜 像 名 为 how2dock/packer:ansible。 


$ /home/vagrant/packer build template-ansible.json 








==> docker: Creating a temporary directory for sharing data... 
==> docker: Pulling Docker image: ansible/ubuntu14.04-ansible:stable 
docker: Pulling repository ansible/ubuntu14.04-ansible 


==> docker: Provisioning with Ansible... 
docker: Creating Ansible staging directory... 
docker: Creating directory: /tmp/packer-provisioner-ansible-local 
docker: Uploading main Playbook file... 


docker: 
docker : PLAY [localhost] 尖 火 火光 涛 炎炎 炎炎 类 尖 炎 火 尖 类 火炎 淡淡 类 尖 汪 火 火 尖 炎炎 火炎 淡 尖 火炎 类 类 类 类 类 


docker: 
docker : GATHERING FACTS 类 淡淡 火炎 淡淡 尖 淡淡 火炎 类 火炎 淡淡 类 尖 火 火 尖 类 火 火 尖 炎炎 汪汪 火光 类 火炎 炎炎 类 类 


docker: ok: [localhost] 

docker: 

docker: TASK: [install nginx] 类 火 淡淡 火炎 火 火 淡淡 火炎 类 火 火 尖 火炎 火炎 火炎 火炎 火炎 火炎 火 尖 火炎 类 
docker: changed: [localhost] 


docker: 
docker : PLAY RECAP 类 兴 兴 光 兴 兴 尖 天 类 光 光 火炎 类 炎炎 天天 天光 兴 类 火炎 火光 天 天 天 类 光大 火炎 类 类 尖 天 天 天 类 类 火 大 


docker: localhost : ok=2 changed=1 unreachable=0 failed=0 
docker: 
==> docker: Committing the container 


docker (docker-tag): Repository: how2dock/packer:ansible 
Build 'docker' finished. 


更 用 Ansible playbook 构建 的 新 镜像 how2dock/packer:ansible 已 经 可 以 使 用 了 。 你 可 以 像 前 
而 的 例子 一 样 ， 从 这 个 镜像 创建 一 个 新 容器 并 在 容器 内 运行 应 用 程序 。 这 一 方法 的 有 趣 之 
处 在 于 ， 使 用 容器 代替 虚拟 机 时 ， 你 还 可 以 继续 发 挥 配置 管理 工具 中 范例 /playbook 的 价值 。 


2.9 将 镜像 发 布 到 Docker Hub 


2.9.1 问题 
你 编写 了 一 个 Dockerfile 文件 并 构建 了 一 个 有 用 的 镜像 。 你 想 和 所 有 人 共享 这 一 镜像 。 


2.9.2 ”解决 方案 


你 可 以 在 Docker Hub (http://hub.docker.com) 上 共享 这 个 镜像 。 如 果 说 GitHub 是 为 源 代 
码 服务 的 ， 那 么 Docker Hub 可 以 说 是 专门 为 Docker 镜像 服务 的 。Docker Hub 允许 任何 人 
在 线 托管 他 们 的 镜像 ， 可 以 将 镜像 设 为 公开 状态 或 者 私有 状态 。 为 了 在 Docker Hub 上 共 
享 镜像 ， 你 需要 执行 以 下 操作 。 

。 注册 一 个 Docker Hub 账号 。 

。 在 你 的 Docker 主机 上 登录 Docker Hub。 

。 将 你 的 镜像 推送 到 Docker Hub。 


现在 就 让 我 们 开始 。 注 册 Docker Hub 账号 只 需要 一 个 合法 的 电子 邮件 地 址 即 可 。 打 开 注 
册页 面 (https:Whub.docker.com/) ， 注 册 一 个 账号。 在 完成 了 你 注册 账号 时 填写 的 邮箱 地 址 
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的 验证 之 后 ， 注 册 就 宣告 完成 。 你 可 以 使 用 这 个 免费 账号 创建 无 限 数 量 的 公开 镜像 仓库 和 
一 个 私有 镜像 仓库 。 如 果 希 望 创建 不 止 一 个 私有 仓库 ， 你 需要 使 用 付费 方案 


现在 你 已 经 拥有 了 一 个 Docker Hub 账号 。 此 时 ， 你 ` 可 以 回 到 Docker 主机 ， 选择 一 个 镜像 ， 
使 用 Docker 命令 行 工 具 将 这 个 镜像 推送 到 你 的 公开 仓库 中 。 这 需要 执行 以 下 三 个 步骤 才 


人 Ab 


有 上 元 


(1) 通过 docker Login 命令 来 登录 Docker Hub， 这 会 要 求 你 输入 Docker Hub 凭据 。 
(2) 使 用 你 Docker Hub 上 的 用 户 名 为 已 有 镜像 打 标签 。 
(3) 将 新 打 完 标签 的 镜像 推送 到 Docker Hub。 


登录 过 程 会 将 你 的 Docker Hub 凭据 保存 到 文件 ~/.dockercfg 中 ， 如 下 所 示 。 


$ docker Login 
Username: how2dock 
Password: 
Email: how2dock@gmail .com 
Login Succeeded 
$ cat ~/.dockercfg 
{"https://index.docker .io/v1i/": fauth 3” 人 
"ematLn :how2dockQgmatt， com"}} 


如 果 查 看 一 下 当前 你 所 拥有 的 镜像 ， 你 会 看 到 在 范例 2.4 中 构建 的 Flask 镜像 使 用 了 一 个 
本 地 仓库 名 以 及 Latest 标签 ， 如 下 所 示 。 
$ docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
flask latest 88d6464d1f42 5 days ago 354.6 MB 























要 想 将 这 个 镜像 推送 到 你 的 Docker Hub 账号 下 ， 你 需要 通过 docker tag 命令 使 用 你 在 
Docker Hub 上 的 仓库 为 这 个 镜像 打 标签 (参见 范例 2.6)， 如 下 所 示 。 


$ docker tag flask how2dock/flask 
sebimac:flask sebgoa$ docker images 





REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
flask Latest 88d6464d1f42 5 days ago 354.6 MB 
how2dock/flask Latest 88d6464d1f42 5 days ago 354.6 MB 


现在 你 的 Flask 镜像 有 了 一 个 how2dock/flask | 这 也 符合 Docker Hub ss 
规则 。 你 已 经 可 以 推送 镜像 了 。Docker 会 推送 这 个 组 成 镜像 的 各 个 镜像 层 ， 如 果 这 个 镜像 
层 在 Docker Hub 上 已 4 经 存在 了 ， dy 会 被 略 过 。 人 你 就 可 
以 在 你 的 Docker Hub 页 面 上 看 到 how2dock/flask 镜像 了 ， 并 且 所 有 人 都 可 以 通过 docker 
pull how2dock/flask 来 下 载 这 个 镜像 (参见 图 2-1) ， 如 下 所 示 。 

$ docker push how2dock/flask 

The push refers to a repository [how2dock/flask] (len: 1) 

Sending image list 

Pushing repository how2dock/flask (1 tags) 


511136ea3c5a: Image already pushed, skipping 
01bf15a18638: Image already pushed, skipping 























dc4a9a43bb7f: Image successfully pushed 








e394b9fbe3fa: Image successfully pushed 
3f7abcdc10d4: Image successfuLLy pushed 
88d6464d1f42: Image successfully pushed 
Pushing tag for rev [88d6464d1f42] on 


{https://cdn-registry-1.docker.io/vi/repositories/how2dock/flask/tags/latest} 





Browse Repos Documentation how2dock 


+Add Repository ~ 


Community Help 


how2dock v Your Repositories 


Show: Al $ Sortby | Last Updated 


< 


Summary 


Fikter by name.. 
Repositories 


how2dock/flask 


a few seconds ago > | 


Starred 


Manage 
Settings 


Private Repositories 


(used 0 of 1) 


Buy morel 


2-1: Docker Hub 上 的 Flask 镜像 








2.9.3 讨论 

docker tag 命令 可 以 用 来 修改 镜像 的 仓库 名 和 标签 。 在 这 例子 中 ， 你 没有 指定 标签 ， 所 
以 Docker 会 自动 设置 一 个 latest 标签 。 你 可 以 选择 为 镜像 设置 标签 并 将 标签 信息 推送 到 
Docker Hub 上 ， 以 此 在 同一 仓库 中 维护 一 个 镜像 的 多 个 版 本 。 


本 范例 介绍 了 两 个 新 的 Docker CLI 命令 : docker tag 和 docker push。 还 有 一 个 用 于 镜像 
管理 的 命令 也 值得 关注 : docker search。 可 以 使 用 这 条 命令 在 Docker Hub 上 查找 镜像 。 
比如 ， 可 以 像 下 面 这 样 来 查找 提供 postgres 应 用 的 镜像 。 


$ docker search postgres 

















NAME DESCRIPTION STARS OFFICIAL AUTOMATED 
postgres The PostgreSQL ... 402 [OK] 
paintedfox/postgresql A docker image 50 [OK] 
helmi03/docker-postgis PostGIS 2.1 in 20 [OK] 
atlassianfan/jira Atlassian Jira 17 [OK] 
orchardup/postgresql https://github ... 16 [OK] 
abevoeLker/ruby Ruby 2.1.2, Post ... 13 [OK] 
slafs/sentry my approach for 12 [OK] 
一 条 结果 是 由 Postgres 团队 维护 的 官方 镜像 。 一 些 镜 





这 条 命令 会 返回 超过 600 个 镜像 。 
校 


建 并 推送 到 Docker Hub 的 你 将 会 在 范例 2.12 中 学 习 如 何 使 用 自动 构建 镜像 。 

















2.9.4 参考 


。 Docker Hub 指南 (http://docs.docker.com/engine/userguide/dockerrepos/ ) 


2.10 ”使 用 ONBUILD 镜 像 


2.10.1 问题 


你 在 一 些 软 件 仓库 中 看 到 有 些 Dockerfile 文件 中 有 一 行 类 似 FROM golang:1.3-onbuild 的 内 
容 ， 你 对 这 种 镜像 的 工作 原理 很 好 奇 。 


2.10.2 ”解决 方案 


ONBUILD 指令 为 Dockerfile 带 来 了 一 些小 魔法 。 这 条 指令 定义 了 一 个 会 在 未 来 执行 的 触发 

器 。 这 个 触发 器 是 一 个 常规 Dockerfile 指令 ， 比 如 RUN 或 ADD。 包 含 ONBUILD 指令 的 镜像 我 

们 称 之 为 父 镜像 。 当 一 个 父 镜像 被 用 作 基 础 镜像 时 ( 即 通 过 FROM 指令 被 引用 )， 新 镜像 也 

被 称 为 子 镜像 ， 子 镜像 构建 过 程 会 触发 在 父 镜像 ONBUILD 中 定义 的 指令 。 

换 句 话说 ， 就 是 父 镜像 会 指定 子 镜像 在 构建 时 要 做 些 什么 。 

你 仍然 可 以 在 子 镜像 的 Dockerfile 文件 中 添加 指令 ， 但 是 父 镜像 中 ONBUILD 指令 的 内 容 会 

最 先 执 行 。 

这 非常 方便 构建 极其 简单 的 Dockerfile， 并 能 在 所 有 的 镜像 之 间 提供 一 致 性 。 

可 以 参考 一 下 下 面 儿 个 使 用 了 ONBUILD 指令 的 父 镜像 的 例子 。 

。 Node.js (https://github.com/nodejs/docker-node/blob/4654fb4bd58a36ae016a907c10b75daf9 
251al5d/0.12/onbuild/Dockerfile) 

。 Golang (https://github.com/docker-library/golang/blob/396f40c6188614c7acd6d8299a0ea710 
30a056a6/1.4/onbuild/Dockerfile ) 

。 Python (https://github.com/docker-library/python/blob/7663560df7547e69d13b1b548675502 
f4e0917d1/2.7/onbuild/Dockerfile) 


。 Ruby (https://github.com/docker-library/ruby/blob/4ccabb5557ce2001aalae2a5f719340eb3 
3c0383/2.1/onbuild/Dockerfile) 


比如 ， 对 于 Node.js 应 用 来 说 ， 你 可 以 使 用 下 面 Dockerfile 定义 的 镜像 作为 父 镜像 。 


FROM node:0.12.6 
































RUN mkdir -p /usr/src/app 
WORKDIR /usr/src/app 


ONBUILD COPY package.json /usr/src/app/ 
ONBUILD RUN npm install 
ONBUILD COPY . /usr/src/app 


CMD [ "npm", "start" ] 











子 镜像 的 Dockerfile 看 起 来 会 像 下 面 这 样 (最 小 指令 集 )。 


FROM node:0.12.6-onbuild 


在 构建 这 个 子 镜像 时 ，Docker 会 自动 将 package.json 文件 从 本 地 环境 复制 到 /usrsrc/app 下 
在， 然后 运行 npm install 命令 ， 将 整个 构建 环境 复制 到 usr/src/app 目录 。 


2.10.3 参考 


。 了 解 ONBUILD 指令 (http://www.eikonomega.com/dockerfile-understand-onbuild/) 
。 ONBUILD 文档 (http://docs.docker.com/reference/builder/#onbuild) 


2.11 运行 私有 registry 


2.11.1 问题 


使 用 Docker Hub 非常 简单 。 然 而 ， 你 可 能 在 数据 治理 方面 比较 关心 将 镜像 托管 在 自己 基础 
设施 之 外 所 带 来 的 风险 。 因 此 ， 你 希望 在 和 己 的 基础 设施 之 上 运行 自己 的 Docker registry。 


2.11.2 ”解决 方案 


使 用 Docker registry 镜像 (https://hub.docker.com/_/registry/) 创建 一 个 容器 。 这 样 ， 你 就 拥 
有 了 一 个 私有 的 registry。 


拉 取 registry 镜像 并 以 守护 方式 局 动 一 个 容器 。 然 后 ， 你 可 以 通过 curt 访问 http:/ 
localhost:5000/v2 来 确认 一 下 registry 是 否 正 常 运行 ， 如 下 所 示 。 









































$ docker pull registry:2 

$ docker run -d -p 5000:5000 registry:2 

$ curl -i http://Llocalhost:5000/v2/ 

HTTP/1.1 200 OK 

Content-Length: 2 

Content-Type: application/json; charset=utf-8 
Docker -Distribution-Api-Version: registry/2.0 
Date: Wed, 19 Aug 2015 23:07:47 GMT 


上 面 的 输出 结果 显示 了 Docker registry 正在 运行 ， 其 API 版 本 为 v2。 要 想 使 用 这 个 私有 
registry， 需 要 按照 正确 的 命名 规则 ， 为 你 之 前 创建 的 本 地 镜像 (比如 在 范例 2.4 中 创建 的 
flask 镜像 ) 打上 标签 。 在 我 们 的 例子 中 ，registry 运行 在 http://localhost:5000 上 ， 所 以 我 们 
打 标 签 的 时 候 会 使 用 LocaLhost :5000 作为 前 级 ， 并 将 这 个 镜像 推送 到 私有 registry。 也 可 
以 使 用 Docker 主机 的 IP 地址， 如 下 所 示 。 


$ docker tag busybox localhost:5000/busy 

$ docker push localhost:5000/busy 

The push refers to a repository [localhost:5000/busy] (len: 1) 
8c2e06607696: Image successfully pushed 

6ce2e90bgbc7: Image successfully pushed 

cf2616975b4a: Image already exists 

Latest: digest: sha256:3b5b980...a4d59f24f9c7253fce29 size: 5049 
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如 果 从 其 他 计算 机 访问 这 个 私有 registry， 你 会 收 到 一 个 错误 消息 ， 提 示 你 的 Docker 客户 
不 能 使 用 一 个 不 安全 的 registry。 如 果 是 测试 环境 (生产 环境 不 建议 这 样 操作 )， 可 以 编辑 
你 的 Docker 配置 文件 ， 增 加 insecure-registry 选项 。 比 如 ， 在 Ubuntu 14.04 上 编辑 /etc/ 
default/docker 文件 ， 添 加 如 下 一 行 。 


DOCKER_OPTS="- -insecure-registry <IP_OF_REGISTRY>:5000" 


重新 启动 Docker 服务 (sudo service docker restart)， tai 元 程 私 有 registry。 
( 记 住 ， 需 要 在 registry 所 在 计算 机 之 外 的 其 他 计算 机 上 进行 上 述 操作 。) 


分 3， :对 论 
这 个 简短 的 例子 使 用 了 registry 的 默认 设置 。 默 认 设置 下 ， 不 需要 进行 身份 验证 ，registry 
是 不 安全 的 ， 会 使 用 本 地 存储 方式 ， 并 会 使 用 一 个 SQLAlchemy 搜索 引擎 。 这 些 选 项 都 
可 以 通过 设置 环境 变量 或 者 编辑 配置 文件 来 修改 。 这 些 在 官方 文档 (https://github.com/ 
docker/distribution) 中 都 有 详细 的 描述 。 
通过 Docker 镜像 运行 的 registry 是 一 个 使 用 Golang 编写 的 应 用 程序 ， 它 对 外 提供 了 一 套 
HTTP REST API (https://docs.docker.com/registry/spec/api/)。 你 可 以 使 用 自己 的 Docker 客 
户 端 其 至 是 curl 来 访问 这 个 registry。 
比如 ， 要 想 列 出 私有 registry 保存 的 所 有 镜像 ， 可 以 使 用 /v2/_catalog URI， 如 下 所 示 。 

$ curl http://localhost:5000/v2/_catalog 

{"repositories":["busy"]} 
如 果 以 不 同 的 标签 将 busybox 镜像 推送 到 私有 registry， 你 将 会 在 返回 的 镜像 列表 中 看 到 这 
个 新 添加 的 镜像 ， 如 下 所 示 。 


$ docker tag busybox LocaLhost:5000/busy1 
$ docker push LocaLhost:5000/busy1 






























































$ curl http://localhost:5000/v2/_catalog 
{"repositories":["busy","busy1"]} 


每 个 registry 中 的 镜像 都 使 用 清单 对 镜像 进行 描述 。 可 以 通过 /v2//manifests/ 这 个 API 来 获 
得 镜像 的 清单 描述 ， 其 中 <name> 是 镜像 的 名 称 ， 而 <reference> 是 镜像 的 标签 。 


$ curl http://LocaLhost:5000/v2/busy1/manifests/Latest 
{ 

"schemaVersion": 1， 

"name": "busy1", 

"tag": "latest", 

"architecture": "amd64", 

"fsLayers": [ 


"blobSum": "sha256:a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d..." 
}, 
{ 


"blobSum": "sha256:1db09adb5ddd7f1a07b6d585a7db747a51c7bd17418d47e..." 
}， 








"blobSum": "sha256:a3ed95caeb02ffe68cdd9fd84406680ae93d633cb16422d..." 


} 
]， 


上 面 看 到 的 每 个 blob 都 代表 一 个 镜像 层 。 可 以 通过 registry API 来 进行 上 传 、 下 载 或 删除 
blob 操作 。registry API 规范 文档 页 面 (https://docs.docker.com/registry/spec/api/#deleting-an- 
image) 中 有 详细 的 介绍 。 

要 想 列 出 一 个 镜像 的 所 有 标签 ， 可 以 使 用 v2//tags/listURI， 如 下 所 示 。 


$ curl http://LocaLhost:5000/v2/busy1/tags/List 

"name":"busy1","tags":["latest"]} 

$ docker tag busybox localhost:5000/busy1:foobar 

$ docker push localhost:5000/busy1:foobar 

$ curl http://LocaLhost:5000/v2/busy1/tags/List 

"name":"busy1","tags":["foobar","latest"]} 
这 些 例子 都 使 用 了 curl， 主 要 是 为 了 让 你 对 registry API 有 一 个 更 直观 的 感受 。 完 整 的 API 
文档 可 以 在 Docker 的 官方 网 站 (https://docs.docker.com/reference/api/registry_api/#set-a-tag- 
for-a-specified-image-id) 上 找到 。 


2.11.4 ”参考 


。 Docker Hub 上 的 Docker registry 主页 (https://hub.docker.com/) 
。 GitHub 上 更 丰富 的 文档 (https://github.com/docker/distribution) 
。 registry 部 署 说 明 (https://docs.docker.com/registry/deploying/) 


2.12 为 持续 集成 /部 署 在 Docker Hub 上 配置 自动 
构建 


2.12.1 问题 


你 已 经 开始 使 用 Docker Hub (https://hub.docker.com， 参 见 范 例 2.9)， 并 且 已 经 向 Docker 
Hub 推送 了 镜像 ， 但 都 是 通过 手动 方式 进行 的 。 你 希望 在 每 次 提交 对 镜像 的 修改 时 都 能 
动 构 建 镜像 。 


2.12.2 解决 方案 
不 要 设置 标准 仓库 ， 而 是 创建 自动 构建 仓库 ， 并 指向 GitHub 或 Bitbucket 上 的 应 用 。 


在 Docker Hub 页 面 ， 单 击 Add Repository 按钮 并 选择 Automated Build (图 2-2)。 然 后 就 
可 以 选择 使 用 GitHub 或 者 Bitbucket (图 2-3)。 
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Select the source you want to use for your Automated Build 





Ws 
GitHub Bitbucket 


Select Select 





Search... QQ Browse Repos Documentation Community Help how2dock \ 
Your Recently Updated Repositories + Add Repository ~ 
how2dock YY 
Repository 
Vossy Automated Build 
Summary flask 
Repositories 
Starred 
CD0 0 
Manage 
Settings 
Contributed Repositories Starred Repositories 
Private Repositories No contributions... yet! Browse repositories in the Registry 
(used 0 of 1) Activity Feed 
+ how2dock pushed to the repository how2dock/flask Yesterday 
+ how2dock created the repository how2dock/flask Yesterday 
图 2-2: 创建 自动 构建 仓库 
Search... 以 Browse Repos Documentation Community Help how2dock 





图 2-3: 选择 使 用 GitHub 或 Bitbucket 

















你 可 以 在 Docker Hub 上 创建 一 个 公开 或 者 私有 的 自动 构建 仓库 ， 并 使 用 公 
开 或 者 私有 的 代码 仓库 。 如 果 你 要 创建 一 个 私有 的 自动 构建 ，Docker Hub 需 
3 要 你 具有 GitHub 账号 的 读 写 权限 。 























选择 完 要 使 用 的 在 线 版 本 控制 系统 之 后 ， 需 要 选择 用 来 构建 镜像 的 项 目 (图 2-4)。 这 应 该 
是 GitHub 或 者 Bitbucket 中 有 Dockerfile 文件 的 项 目 ， 你 想 为 这 个 项 目 自动 构建 Docker 镜 
像 。 然 后 你 可 以 设置 一 个 Docker Hub 仓库 的 名 称 ， 选 择 源 代码 所 在 分 支 ， 指 定 Dockerfile 
所 在 文件 路 径 。 这 非常 适合 想 在 一 个 GitHub 或 者 Bitbucket 仓库 中 维护 多 个 Dockerfile 的 
情况 。Docker Hub 会 在 你 的 GitHub 仓库 中 创建 一 个 GitHub 钓 子 。 











PH 
2 人 Search... Q Browse Repos Documentation Community Help runseb \w 
README.md 
if you have a README.md file in your repository, we will use that as the repository full description. We will look for the README.md in the 


same directory where your Dockerfile lives. 


Warning: if you change the full description after a build, it will be rewritten the next time the Automated Build, has been built. To make 
changes, change the README.md in the source repo. For more information please read the Automated Build documentation. 


Namespace (optional) and Repository Name 
runseb YY / flask bd 


New unique Repo name; 3 - 30 characters. Only lowercase letters, digits and _ - . characters are allowed 


Tags 
Type Name Dockerfile Location Docker Tag Name 
Branch YY master /examples/flask latest 
乌 Public 


只 Anyone can pull, and is listed and searchable on the docker index. 
O Private 


号 Only you can pull, and is not listed on the docker index. 


Active: 


HM When active we will build when new pushes occur 


2-4: 输入 自动 构建 的 详细 信息 











在 Docker Hub 上 创建 的 镜像 仓库 名 并 不 一 定 要 与 GitHub/Bitbucket 上 的 仓库 
名 保持 一 致 。 








当 完 成 自动 构建 的 配置 之 后 ， 你 就 可 以 查看 到 构建 的 详情 。 构 建 的 状态 会 从 pending 到 
building 再 到 pushing， 最 后 会 变 为 finished。 构 建 完 成 之 后 ， 你 就 可 以 拉 取 新 镜像 了 。 
$ docker pull runseb/flask 


Dockerfile 选项 卡 会 根据 你 的 GitHub 仓库 中 的 Dockerfile 文件 的 内 容 自动 生成 。 如 果 存 在 
README.md 文件 ， 则 会 自动 根据 README.md 文件 生成 Information 选项 卡 的 内 容 。 


向 GitHub 仓库 推送 了 新 的 提交 之 后 ，Docker Hub 会 自动 触发 一 次 镜像 构建 。 当 构建 完成 
之 后 ， 新 的 镜像 就 可 以 使 用 了 。 


你 也 可 以 修改 构建 设置 ， 从 不 同 的 分 支 触 发 构建 ， 并 为 镜像 设置 不 同 的 标 
签 。 比 如 ， 你 可 以 从 主 分 支 进行 构建 并 设置 相关 的 标签 为 Latest， 使 用 发 
布 分 支 进行 构建 并 设 定 一 个 不 同 标签 (比如 ， 为 从 1.0 分 支 构建 的 镜像 设置 
1.0 的 标签 ) 。 




















2.12.3 讨论 

除了 通过 向 GitHub 或 者 Bitbucket 推送 代码 来 自动 触发 构建 ， 也 可 以 通过 发 送 一 个 HTTP 
的 POST 请 求 到 指定 的 URL 来 触发 构建 ， 这 个 URL 可 以 在 Build Trigger 页 面 得 到 (图 
2-5)。 为 了 防止 对 Docker Hub 造成 洲 用 ， 有 些 构建 可 能 会 被 忽略 。 





Trigger Status 
Status: ON 
Trigger d475002c-85dc-11e4-81c4-0242ac110007 2 Regenerate Token 
Token: 


Trigger URL: https://registry.hub.docker.com/u/runseb/flask/trigger/d475002c-85dc-11e4-81c4- 
0242ac110007/ 
Example 


$ curl --data "build=true" -x POST https://registry .hub .docker .com/u/runseb/f lask/trigger/d475882c-85dc-11e4-81c4-8 
242qc11666877 


Last 10 Trigger Logs 


Date/Time IP Address Status Status description Build Request 

Dec. 17, 2014, 11:12 178.199.177.131 triggered Build Triggered bv4nxrvywvgrywywnl2g33q 
a.m. 

Dec. 17, 2014, 11:08 178.199.177.131 ignored Ignored, build n/a 

a.m. throttle. 











图 2-5: 打开 构建 触发 器 








最 后 ， 不 管 你 是 使 用 自动 构建 还 是 使 用 触发 器 手动 触发 构建 ， 都 可 以 使 用 webhook。 
webhook URL 非常 适合 与 其 他 系统 进行 集成 ， 比 如 Jenkins (https://jenkins-ci.org)。 有 多 种 
工具 可 以 用 来 触发 镜像 构建 以 及 作为 其 中 的 一 步 集成 到 持续 交付 工作 流 中 。 在 自动 构建 的 
构建 详情 页 面 ， 你 可 以 看 到 webhook 页 面 。 在 这 个 页 面 ， 当 构建 成 功 时 ， 你 可 以 向 指定 的 
URL 发 送 HTTP POST 请 求 。 这 个 请 求 体 中 包括 一 个 回调 用 的 URL。 你 的 接收 网 址 需要 发 
送 一 个 HTTP POST 请 求 作为 返回 结果 ， 返 回 体 是 一 个 JSON 数据 ， 包 括 用 于 表示 返回 结 
果 的 state 属性 ， 它 的 值 为 success、failure 或 者 error 之 一 。 当 收 到 一 个 成 功 的 状态 时 ， 
自动 构建 就 会 继续 调用 下 一 个 webhook， 这 样 就 可 以 将 多 个 操作 串联 到 一 起 。 


















































2.12.4 参考 
。 自动 构建 参考 文档 (https://docs.docker.com/docker-hub/builds/) 


2.13 ”使 用 Git 钧 子 和 私有 registry 建 立 本 地 自动 
构建 环境 


2.13.1 问题 


使 用 Docker Hub、GitHub 或 者 Bitpucket 进行 自动 构建 非常 实用 (参见 范例 2.12)， 但 是 你 
可 能 正在 使 用 私有 registry (比如 一 个 本 地 的 hub) ， 并 且 希 望 在 向 本 地 的 Git 项 目 中 推送 代 
码 时 触发 Docker 镑 像 构建 。 


2.13.2 ”解决 方案 
创建 一 个 Git 的 post-commit 钧 子 ， 由 它 来 触发 一 个 构建 并 将 新 镜像 推送 到 你 的 私有 registry。 


在 你 Git 项 目的 根 文 件 夹 下 创建 一 个 bash 脚本 ./git/hooks/post-commit， 它 的 内 容 比 较 简 
单 ， 如 下 所 示 。 


#!/bin/bash 

















tag= ‘git Log -1 HEAD --format="%h". 
docker build -t flask:$tag /home/sebgoa/docbook/examples/flask 


使 用 chmod +x .git/hooks/post-commit 命令 将 文件 的 属性 设置 为 可 执行 。 


现在 ， 每 当 你 向 Git 项 目 中 提交 代码 ，bash 脚本 post-commit 都 会 被 执行 。 它 将 会 使 用 提 
交 SHA 的 简短 散 列 字符 串 作为 新 的 tag， 并 使 用 指定 Dockerfile 文件 触发 一 次 构建 。 之 后 
它 就 会 构建 一 个 新 的 名 为 fask 的 镜像 ， 并 使 用 由 程序 生成 的 标签 。 


$ git commit -m "fixing hook" 
9c38962 
Sending build context to Docker daemon 3.584 kB 
Sending build context to Docker daemon 
Step 0 : FROM ubuntu:14.04 
---> 9bd07e480c5b 
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Step 1 : RUN apt-get Update 
---> Using cache 
---> e659c9e9ba21 
<snip> 
Removing intermediate container 05c13744c7bf 
Step 8 : CMD python /tmp/hello.py 
---> Running in 124cd2ada52d 
---> 9a50c7b2bee9 
Removing intermediate container 124cd2ada52d 
Successfully built 9a50c7b2bee9 
[master 9c38962] fixing hook 
1 file changed, 1 insertion(+), 1 deletion(-) 
$ docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
flask 9c38962 9a50c7b2bee9 5 days ago 354.6 MB 


尽管 上 面 的 方法 能 正常 工作 ， 并 且 它 只 使 用 了 两 行 bash 代码 ， 但 是 如 果 这 个 构建 过 程 需 要 
花费 很 长 时 间 ， 那 么 在 Git 的 post-commit 任务 中 进行 镜像 构建 可 能 就 不 太 切合 实际 了 。 比 
较 好 的 方法 是 使 用 post-commit 钩子 触发 一 个 远程 的 构建 ， 然 后 将 新 镜像 推送 到 私有 registry。 
































2.13.3 讨论 


举例 来 说 ， 你 可 以 使 用 Git 钧 子 触 发 一 个 位 于 一 台 Jenkins 服务 器 上 的 镜像 构建 任务 ， 然 后 
让 Jenkins 将 新 镜像 推送 到 你 的 私有 registry。 


2.14 使 用 Conduit 进 行 持 续 部 署 


2.14.1 问题 


你 已 经 掌握 了 如 何在 Docker Hub 上 设置 自动 构建 (参见 范例 2.12) ， 但 是 你 想 添 加 一 个 钧 
子 ， 以 便 在 镜像 构建 完成 时 ， 自 动 将 新 镜像 部 署 到 Docker 主机 上 。 


2.14.2 ”解决 方案 


Docker Hub 提供 了 webhook 功能 (https://docs.docker.com/docker-hub/builds/#webhooks)， 
当 你 成 功 向 Docker Hub 进行 推送 时 ， 它 就 会 被 调用 。 

webhook 是 一 个 发 送 给 指定 回调 地 址 的 HTTP POST 请 求 。 通 过 在 回调 地 址 中 对 这 个 HTTP 
请 求 进行 处 理 ， 解 析 请 求 内 容 ， 你 可 以 拉 取 镜像 或 者 启动 新 容器 。Docker Hub 允许 你 将 多 
个 webhook 串联 起 来 ， 连 续 触发 多 个 事件 。 
将 webhook 串 接 起 来 可 以 用 于 构建 持续 集成 和 持续 部 署 工作 流 。 一 个 开发 团队 会 修改 应 
用 程序 的 代码 (比如 在 GitHub 上 )。 如 果 源 代码 中 包括 一 个 Dockerfile， 并 且 设 置 了 自 
动 构建 ， 那 么 每 次 提交 都 会 构建 一 个 新 的 镜像 。 为 了 验证 这 个 镜像 ， 团 队 一 般 会 运行 集 
成 测试 。 有 很 多 可 选 的 网 络 服务 [包括 Travis CI (https:Wtravis-ci.org) 、CircleCI (https:// 
circleci.com) 和 Codeship (https:Wcodeship.com)] 可 以 帮 你 完成 测试 工作 ， 你 也 可 以 自己 
通过 Jenkins 或 者 其 他 测试 框架 来 完成 测试 工作 。 当 镜像 验证 完成 之 后 ， 就 可 以 通过 第 二 
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个 webhook 在 生产 环境 中 自动 部 署 这 个 新 的 镜像 。 

为 了 测试 这 一 功能 ， 你 需要 在 Docker Hub 上 创建 一 个 webhook。 这 个 webhook 会 访问 一 
个 应 用 程序 ， 这 个 应 用 会 处 理 webhook 的 请 求 内 容 并 部 署 新 镜像 。Conduit 就 是 这 样 一 个 
应 用 ， 并 且 可 以 在 Docker Hub 上 找到 。 











Conduit 还 处 于 实验 阶段 ， 不 建议 在 生产 环境 下 使 用 。 








2.14.3 ”参考 


。 Docker Hub webhook 官方 文档 (https://docs.docker.com/docker-hub/builds/#webhooks) 
。 Conduit 在 Docker Hub 上 的 主页 (https://registry.hub.docker.com/u/ehazlett/conduit/) 
。 Conduit 在 GitHub 上 的 主页 (https://github.com/ehazlett/conduit) 





第 3 章 


Docker 网 络 





3.0 简介 


当 构 建 分 布 式 应 用 程序 时 ， 组 成 它 的 各 个 服务 需要 能 够 互相 通信 。 这 些 在 容器 中 运行 的 服 
务 ， 可 能 会 运行 在 一 台 主 机 或 多 台 主 机 上 ， 甚 至 是 跨越 数据 中 心 的 不 同 主机 上 。 因 此 ， 容 
器 网 络 是 任何 基于 Docker 的 分 布 式 应 用 程序 需要 考虑 的 关键 因素 。 


用 于 容器 的 网 络 技术 与 用 于 虚拟 机 的 网 络 技术 非常 类 似 。 在 同一 台 主 机 上 的 容器 可 以 连接 
到 一 个 软件 交换 机 上 ，iptables 可 以 用 来 控制 容器 之 间 的 网 络 流 量 ， 并 将 在 容器 中 运行 的 进 
程 的 端口 暴露 到 宿主 机 上 。 

在 安装 时 ，Docker 引擎 会 在 你 的 主机 上 对 网 络 进行 很 多 默认 设置 ， 这 样 一 来 ， 你 不 用 做 
任何 操作 就 可 以 直接 使 用 Docker 网 络 。 在 范例 3.1 中 ， 我 们 首先 将 介绍 一 些 Docker 命令 ， 
你 可 以 用 这 些 命令 获得 容器 的 卫 地 址 。 之 后 在 范例 3.2 中 ， 我 们 将 展示 如 何 将 容器 中 的 端 
口 映 射 到 宿主 机 的 端口 上 。 在 范例 3.3 中 ， 我 们 将 会 更 深入 地 了 解 一 下 容器 链接 技术 ， 这 
是 一 种 可 以 帮助 多 个 容器 进行 服务 发 现 的 机 制 。 

对 于 一 个 分 布 式 应 用 ， 网 络 是 非常 重要 的 ， 我 们 认为 有 必要 对 其 进行 深入 的 研究 。 在 范 
例 3.4 中 ， 我 们 会 介绍 Docker 默认 的 桥接 配置 。 在 范例 3.6 中 ， 我 们 会 向 你 展示 如 何 通过 
修改 Docker 引擎 的 启动 选项 来 更 改 默认 值 。 范 例 3.8 和 东 例 3.9 将 会 带 你 进行 更 深入 的 研 
究 ， 并 告诉 你 如 何 创建 自己 的 网 络 交换 机 ， 使 用 它 为 你 的 容器 提供 网 络 通信 。 虽 然 不 是 必 
需 的 ， 但 了 解 容 器 网 络 的 工作 原理 并 能 对 容器 的 网 络 进行 配置 ， 将 会 对 在 生产 环境 下 运 维 
自己 的 应 用 很 有 帮助 。 


虽然 容器 的 网 络 和 虚拟 机 的 网 络 非常 类 似 ,， 但 它们 有 一 个 主要 的 区 别 。 在 容器 中 ， 你 可 以 
选择 使 用 哪个 网 络 协议 栈 (参见 范例 3.5)。 比 如 ， 你 可 以 让 容器 和 宿主 机 共享 网 络 协议 
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栈 ， 这 样 你 的 容器 就 可 以 拥有 与 宿主 机 一 样 的 IP 地 址 。 当 然 ， 你 也 可 以 让 多 个 容器 共享 同 
一 个 网 络 协 议 栈 。 有 多 种 容器 网 络 模式 可 供 选 择 ， 为 了 探索 所 有 的 可 能 性 ， 范 例 3.7 会 介 
绍 一 个 非常 实用 的 工具 : Pipework。 花 一 点 点 时 间 学 习 一 下 Pipework， 了 解 它 的 功能 ， 将 
会 大 大 加 深 你 对 容器 和 网 络 的 理解 。 


目前 为 止 ， 所 有 的 范例 都 是 以 一 台 主 机 为 前 提 进 行 介 绍 的 。 然 而 在 现实 中 ， 分 布 式 应 用 程 
序 可 能 涉及 几 十 台 、 几 百 台 甚至 上 千 台 主机 。 在 范例 3.10 中 ， 我 们 将 展示 一 个 基本 的 例 
子 ， 在 两 台 不 同 的 主机 之 间 建 立 一 条 隧道 ， 为 在 两 台 主 机 上 运行 的 容器 提供 一 个 通用 的 人 P 
子 网 以 进行 通信 。 这 个 范例 只 用 于 教学 目的 ， 不 能 作为 生产 环境 的 解决 方案 。 范 例 3.11、 
范例 3.12 和 范例 3.13 则 会 介绍 Weave 和 Elannel。 这 几 个 范例 是 由 Fintan Ryan 和 Eugene 
Yakubovich 提供 的 ， 介 绍 了 多 主机 容器 网 络 解决 方案 ， 这 些 方案 可 用 于 生产 环境 。 
在 本 章 结尾 ， 我 们 将 客 探 一 下 Docker Network (范例 3.14) ， 并 深入 了 解 一 下 VXLAN 的 
配置 (范例 3.15)。Docker Network 目前 正在 开发 中 ， 但 应 该 很 快 就 能 成 为 标准 Docker 发 
布 的 一 部 分 。 类 似 于 Weave、Flannel 和 Calico 这 样 的 解决 方案 也 能 通过 正在 开发 中 的 插件 
机 制 在 Docker Network 中 使 用 。 

现 概述 一 下 你 将 在 本 章 学 到 什么 内 容 。 最 初 的 几 个 范例 会 涉及 一 些 基 于 Docker 默认 网 络 
配置 的 基本 概念 。 对 开发 人 员 来 说 ， 了 解 这 些 就 已 经 足够 了 。 关 心 在 生产 环境 下 部 署 基于 
Docker 的 应 用 程序 的 系统 管理 员 ， 应 该 深入 地 研究 一 下 Docker 引擎 的 网 络 配 置 ， 更 好 地 理 
解 这 些 默认 配置 ， 以 及 网 络 命名 空间 在 Docker 中 是 如 何 使 用 的 。 最 后 ， 对 于 生产 环境 下 的 
跨 主机 方案 ， 你 应 该 查看 一 下 关于 Weave 和 Flannel 的 范例 ， 同 时 学 习 一 下 Docker Network。 


3.1 查看 容器 的 IP 地 址 


3.1.1 问题 


你 启动 了 一 个 容器 ， 想 知道 这 个 容器 的 卫 地 址 。 


3.1.2 ”解决 方案 

在 默认 的 Docker 网 络 模式 下 ， 有 很 多 方法 可 以 获取 一 个 容器 的 卫 地 址 。 本 范例 中 将 会 介 
绍 其 中 几 种 。 

第 一 种 方法 就 是 使 用 docker inspect 命令 (参见 范例 9.1 了 解 更 多 ) 并 指定 一 个 Go 模板 
格式 ， 如 下 所 示 。 


$ docker run -d --name nginx nginx 
$ docker inspect --format '{{ .NetworkSettings.IPAddress }}' nginx 
172.17.0.2 


也 可 以 使 用 docker exec 命令 在 容器 内 部 执行 命令 来 获得 容器 的 卫 地 址 ， 如 下 所 示 。 


$ docker exec -ti nginx ip add | grep global 
inet 172.17.0.2/16 scope global eth0 












































假设 Docker 已 经 为 这 个 容器 设置 好 ， 还 可 以 查看 容器 内 的 /etc/hosts 文件 ， 如 下 所 示 。 
$ docker run -d --name foobar -h foobar busybox sleep 300 


$ docker exec -ti foobar cat /etc/hosts | grep foobar 
172.17.0.4 foobar 


最 后 ， 可 以 进入 容器 中 的 shell， 输 入 标准 的 Linux 命令 ， 如 下 所 示 。 


$ docker exec -ti nginx bash 
rootQa3c1f7edb00a: /# cat /etc/hosts 


3.1.3 ”参考 


。 为 了 更 好 地 理解 Docker 网 络 的 工作 原理 ， 了 解除 了 获取 容器 卫 地址 以 外 的 知识 ， 请 参 
见 范例 3.4 

。 10 个 获取 Docker 容器 卫 地 址 的 例子 (http://networkstatic.net/10-examples-of-how-to-get- 
docker-container-ip-address/ ) 


3.2 ”将 容器 端口 暴露 到 主机 上 


3.2.1 问题 
你 希望 在 网 络 上 访问 运行 在 容器 内 的 服务 。 


3.2.2 ”解决 方案 


Docker 可 以 通过 docker run 命令 的 -P 选 项 将 容器 内 的 端口 动态 绑 定 到 宿主 机 上 。 也 可 以 
通过 -p 选项 手动 指定 映射 关系 。 
假设 你 已 经 通过 如 下 所 示 的 Dockerfile 构建 了 一 个 运行 Python Flask 应 用 的 镜像 。 


FROM python:2.7.10 





























RUN pip install fLask 
COPY hello.py /tmp/hello.py 


CMD ["python","/tmp/hello.py"] 
个 文件 与 范例 2.4 中 看 到 的 有 点 类 似 。 让 我 们 构建 这 个 镜像 ， 并 且 不 指定 任何 端口 映射 
a 个 容器 ， 如 下 所 示 。 


$ docker build -t flask 
$ docker run -d --name foobar flask 


你 可 以 找 出 容器 的 卫 地址， 在 宿主 机 上 通过 5000 端口 访问 到 容器 内 的 Flask 应 用 


$ docker inspect -f '{{.NetworkSettings.IPAddress}}' foobar 
172.17.0.2 

$ curL http://172.17.0.2:5000/ 

Hello World! 














o 
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但 是 ， 你 不 能 在 该 容器 所 在 宿主 机 之 外 通过 这 种 方式 来 访问 该 应 用 。 要 想 从 外 部 也 能 访问 
该 应 用 ， 你 需要 在 启动 容器 时 使 用 端口 映射 ， 如 下 所 示 。 

$ docker kill foobar 

$ docker rm foobar 

$ docker run -d -p 5000 --name foobar flask 

$ docker ps 


CONTAINER ID IMAGE COMMAND “ew PORTS NAMES 
2cc258827b34 flask "python /tmp/hello.p ... 0.0.0.0:32768->5000/tcp foobar 


可 以 看 到 在 docker ps 命令 的 结果 中 ，PORTS 列 显 示 了 32768 端口 和 容器 的 5000 端口 之 间 
的 映射 关系 。 宿 主机 会 监听 0.0.0.0 网 络 接 口 以 及 TCP 32768 端口 ， 并 将 请 求 转发 到 容器 的 
5000 端口 。 如 果 在 命令 行 上 通过 curt 访问 Docker 主机 的 32768 端口 ， 就 可 以 访问 到 容器 
内 的 Flask 应 用 了 。 
除了 docker ps 命令 会 返回 端口 映射 关系 ， 以 及 你 可 以 使 用 docker 
inspect，Docker 还 提供 了 一 个 很 有 用 的 docker port 命令 来 显示 容器 的 端 
口 映射 信息 。 比 如 ， 试 试 下 面 这 样 : 


$ docker port foobar 5000 
0.0.0.0:32768 




















可 能 你 已 经 注意 到 了 ， 与 范例 2.4 不 同 ， 上 面 的 Dockerfile 中 并 没有 EXP05E 语句 。 如 果 你 
添加 了 该 语句 ， 就 可 以 通过 -P 来 暴露 该 端口 而 免 去 详细 指定 应 用 程序 端口 的 麻烦 。Docker 
会 自动 进行 正确 的 端口 映射 。 在 前 面 的 Dockerfile 中 添加 EXPOSE 5000， 然 后 重新 构建 镜 
像 ， 像 下 面 这 样 启动 容器 。 

$ docker run -d -P flask 


你 会 看 到 端口 映射 都 是 自动 完成 的 。 





3.2.3 讨论 


一 个 容器 可 以 同时 暴露 多 个 容器 端口 ， 也 可 以 选择 是 使 用 TCP 还 是 UDP 协议。 比如， 你 
想 将 5000 端口 以 TCP 协议 、53 端口 以 UDP (假设 你 的 应 用 也 使 用 了 53 端口 ) 协议 暴露 
给 外 部 ， 可 以 像 下 面 这 样 操作 。 


$ docker run -d -p 5000/tcp -p 53/udp flask 
端口 映射 通过 两 种 机 制 实现 。 


首先 ， 默 认 情 况 下 Docker 会 修改 宿主 机 的 iptables 规则 。 如 果 你 在 Flask 应 用 运行 时 查看 
一 下 iptables 的 规则 ， 就 会 发 现在 Docker 链表 中 新 增加 的 一 条 规则 。 


$ sudo iptables -L 





























Chain DOCKER (1 references) 
target prot opt source destination 
ACCEPT tcp -- anywhere 172,17.0.2 tcp dpt:5000 
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其 次 ，Docker 会 在 宿主 机 上 局 动 一 个 轻 量 的 代理 程序 。 这 个 进程 监听 宿主 机 的 所 有 网 
络 接口 ， 监 昕 端口 是 为 容器 动态 分 配 的 端口 。 查 看 系统 正在 运行 的 进程 ， 就 能 看 到 这 个 
代理 程序 。 
$ ps -ef | grep docker 
root 29969 1 ... /usr/bin/docker -d 
root 30851 29969 ... docker-proxy -proto tcp -host-ip 0.0.0.0 \ 
-host-port 32769 \ 


-container-ip 172.17.0.5 \ 
-container-port 5000 


可 以 修改 这 些 默认 动作 来 禁止 Docker 修改 你 的 iptables， 这 时 你 必须 自己 处 理 网 络 相 关 功 
能 (参见 范例 3.6) 。 


3.3 在 Docker 中 进行 容器 链接 


3.3.1 问题 


当 构建 一 个 由 多 个 服务 构成 的 分 布 式 应 用 时 ， 你 需要 一 种 机 制 来 发 现 这 些 服务 的 位 置 ， 这 
样 系统 中 的 各 个 组 件 才能 互相 通信 。 你 可 以 手动 为 这 些 服务 (运行 于 容器 之 中 ) 设置 人 地 
址 ， 但 是 考虑 到 可 扩展 性 ， 你 需要 一 种 自发 现 机 制 。 


3.3.2 解决 方案 


在 Docker 中 最 容易 想到 的 解决 方案 是 将 容器 链接 起 来 。 这 可 以 通过 docker run 命令 的 
--Link 选项 来 实现 。 





























容器 链接 在 单 台 主机 上 工作 良好 ， 但 是 在 一 个 大 规模 系统 中 ， 需 要 使 用 其 他 
的 服务 发 现 方式 。 类 似 范 例 7.13 这 样 再 加 上 键 值 存储 和 DNS 的 解决 方案 也 
是 一 个 不 错 的 选择 。Docker Network (参见 范例 3.14) 提供 了 一 种 内 建 机 制 
来 将 容器 内 的 服务 暴露 给 外 部 ， 而 不 必 使 用 容器 链接 。 














为 了 解释 容器 链接 ， 让 我 们 构建 一 个 由 数据 库 、Web 应 用 和 负载 平衡 组 成 的 三 层 架 构 系 
统 。 首 先 启动 一 个 数据 库容 器 ， 然 后 将 它 链接 到 Web 应 用 容器 ， 最 后 再 启动 负载 平衡 容 
器 ， 并 链接 Web 应 用 容器 。 为 了 方便 进行 链接 ， 需 要 为 每 个 容器 设置 一 个 容器 名 。 由 于 这 
是 一 个 简单 的 例子 ， 该 应 用 程序 不 需要 做 任何 工作 ， 所 以 我 们 选择 了 使 用 runseb/hostname 
这 个 镜像 。 这 是 一 个 Flask 应 用 ， 它 会 返回 该 应 用 所 在 容器 的 主机 名 。 


让 我 们 启动 这 三 个 容器 ， 如 下 所 示 。 


$ docker run -d --name database -e MYSQL_ROOT_PASSWORD=root mysql 


$ docker run -d --link database:db --name web runseb/hostname 

$ docker run -d --link web:application --name lb nginx 

$ docker ps 

CONTAINER ID IMAGE COMMAND ... PORTS NAMES 
507edee2bbcf nginx "nginx -g 'daemon of ... 80/tcp, 443/tcp 1b 
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62c321acb102 runseb/hostname "python /tmp/hello ... 5000/tcp web 
cf17b64e7017 mysql "/entrypoint.sh mysq ... 3306/tcp database 


将 容器 链接 起 来 之 后 ， 在 Web 应 用 容器 中 会 包含 一 些 指向 数据 库 的 环境 变量 。 类 似 地 ， 在 
负载 平衡 容器 中 ， 也 存在 指向 Web 应 用 容器 的 环境 变量 ， 如 下 所 示 。 


$ docker exec -ti web env | grep DB 
DB_PORT=tcp://172.17.0.13:3306 
DB_PORT_3306_TCP=tcp://172.17.0.13:3306 
DB_PORT_3306_TCP_ADDR=172.17.0.13 
DB_PORT_3306_TCP_PORT=3306 
DB_PORT_3306_TCP_PROTO=tcp 
DB_NAME=/web/db 
DB_ENV_MYSQL_ROOT_PASSWORD=root 
DB_ENV_MYSQL_MAJOR=5.6 
DB_ENV_MYSQL_VERSION=5.6.25 





5 docker exec -ti lb env | grep APPLICATION 
APPLICATION_PORT=tcp://172.17.0.14:5000 
APPLICATION_PORT_8080_TCP=tcp://172.17.0.14:5000 
APPLICATION_PORT_8080_TCP_ADDR=172.17.0.14 
APPLICATION_PORT_8080_TCP_PORT=5000 
APPLICATION_PORT_8080_TCP_PROTO=tcp 
APPLICATION_NAME=/Lb/appLication 


可 以 用 这 些 环境 变量 来 动态 配置 应 用 程序 和 负载 平衡 。 
/etc/hosts 文件 也 会 自动 更 新 ， 该 文件 包含 了 最 新 的 名 称 解 析 相 关 信 息 。 


$ docker exec -ti web cat /etc/hosts 
172.17.0.14 62c321acb102 
172;1770..13 db cf17b64e7017 database 














$ docker exec -ti lb cat /etc/hosts 
L72517..0515 507edee2bbcf 
172.17.0.14 application 62c321acb102 web 


如 果 你 重启 了 一 个 容器 ， 那 么 链接 了 这 个 容器 的 /etc/hosts 文件 会 自动 更 新 ， 
而 其 环境 变量 则 保持 不 变 。 因 此 ， 推 荐 使 用 /etc/hosts 文件 对 所 链接 的 容器 进 
行 IPP 地址 解析 。 











3.3.3 对 论 
当 你 启动 容器 时 ， 你 会 发 现 ， 我 们 已 经 为 每 个 容器 都 设置 了 名 称 。 容 器 的 名 称 可 以 用 来 定 
义 容 器 链接 。 其 格式 如 下 所 示 。 

--Link <container_name>:<alias> 


你 会 在 /etc/host 文件 中 看 到 为 链接 指定 的 别名 (alias)， 为 容器 链接 添加 的 环境 变量 也 会 以 


这 个 别名 为 前 缀 。 








如 果 容 器 正在 运行 中 ， 可 以 使 用 inspect 方法 来 查看 一 下 它 都 使 用 了 哪些 容器 链接 。 
结果 为 被 链接 的 容器 名 与 其 在 该 容器 中 所 用 别名 的 映射 关系 。 

$ docker inspect -f "{{.HostConfig.Links}}" application 

[/database:/application/db] 

$ docker inspect -f "{{.HostConfig.Links}}" lb 

[/application: /Llb/app] 
尽管 容器 链接 对 于 在 单 台 主机 上 进行 开发 非常 有 用 ,但 是 在 大 规模 的 部 署 中 也 有 其 局 限 
性 ， 比 如 容器 重新 启动 非常 频繁 。 基 于 DNS 或 动态 容器 注册 机 制 的 系统 具备 扩展 性 和 自 
动 更 新 功能 。 


3.3.4 ”参考 


。 Docker 容器 链接 官方 文档 (https://docs.docker.com/userguide/dockerlinks/) 


3.4 理解 Docker 容 器 网 络 


3.4.1 问题 
你 想 了 解 Docker 容器 网 络 的 基本 知识 。 


3.4.2 ”解决 方案 

如 果 只 是 为 了 使 用 Docker 并 日 i 上 Docker 容器 能 够 互相 通信 ， 就 并 不 一 定 要 使 用 该 解决 方 
案 。 这 里 之 所 以 对 此 进行 详细 介绍 ， 就 是 希望 为 你 提供 更 多 的 信息 ， 以 便 你 根据 自己 的 喜 
好 对 Docker 网 络 进 行 定制 。 
在 默认 安装 情况 下 ，Docker 会 在 宿主 机 上 创建 一 个 名 为 dockerg 的 Linux 网 桥 设备 。 该 网 
桥 设 备 拥 有 一 个 私有 网 络 地 址 及 其 所 属 子 网 。 分 配给 dockerg 网 桥 的 子 网 地 址 为 172.[17- 
31].42.1/16、10.[0-255].42.1/16 和 192.168.[42-44].1/24 中 第 一 个 没有 被 占用 的 子 网 地 址 。 因 
此 ， 很 多 时 候 你 的 dockere 网 桥 设备 的 地 址 都 是 172.17.42.1。 所 有 容器 都 会 连接 到 该 网 桥 
设备 上 ， 并 从 中 分 配 一 个 位 于 子 网 172.17.42.0/24 中 的 耳 地 址 。 容 器 链接 到 网 桥 的 网 络 接 
口 会 把 dockerg 网 络 设 备 作为 网 关 。 创 建新 容器 时 ，Docker 会 创建 一 对 网 络 设备 接口 ， 并 
将 它们 放 到 两 个 独立 的 网 络 命 名 空间 : 一 个 网 络 设备 放 到 容器 的 网 络 命名 空间 ( 即 eth0) ， 
另 一 个 网 络 设备 放 到 宿主 机 的 网 络 命名 空间 ， 并 连接 到 dockere 网 桥 设 备 上 。 


为 了 说 明 这 一 创建 过 程 ， 让 我 们 回 到 Docker 主机 来 创建 一 个 容器 。 你 可 以 使 用 已 有 的 
Docker 主机 或 者 使 用 为 本 书 准备 的 Vagrant 镜像 ， 如 下 所 示 。 

$ git clone https://github.com/how2dock/docbook 

$ cd ch03/simple 

$ vagrant up 

$ vagrant ssh 


图 3-1 显示 了 这 个 Vagrant 镜像 的 网 络 配 置 情况 。 它 只 有 一 个 NAT 网 络 接口 用 来 访问 外 部 
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网 络 。 这 人 台 主 机 内 部 有 一 个 Linux 网 桥 docker6， 此 外 还 有 两 个 容器 。 





Docker 守 护 进 程 ， 
DOCKER_OPTS={--bip, --fixed-cidr, 
--bridge, --mtu, --ip-forward, --icc 


1 容器 :eth0: | 1 容器 :eth0: | 
172.17.422 172.17.423 


docker0: 
172.17.42.1 


了 了 转发 和 NAT 地 址 转换 
eth0: 10.0.2.15 














3-1: 单 台 Docker 主机 网 络 拓扑 图 


连接 到 这 人 台 主 机 之 后 ， 如 果 查 看 一 下 网 络 接口 设备 列表 ， 将 会 看 到 有 环 回 设 备 、 一 个 eth9 
设备 和 dockerg 网 桥 设 备 ， 如 图 中 显示 的 那样 。 


当 虚 拟 机 启动 时 ，Docker 也 会 随 之 启动 ， 并 自动 创建 一 个 网 桥 ， 然 后 为 其 分 配 一 个 子 网 ， 
如 下 所 示 。 


$ ip -d link show 

1: Lo: <LOOPBACK,UP,LOWER UP> mtu 65536 qdisc noqueue state UNKNOWN ... 
Link/Loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 promiscuity 0 

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo fast ... 
link/ether 08:00:27:98:a7:ad brd ff:ff:ff:ff:ff:ff promiscuity 0 

3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue ... 
link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff promiscuity 0 
bridge 


现在 让 我 们 启动 一 个 容器 并 查看 一 下 它 的 网 络 接口 信息 ， 如 下 所 示 。 


$ docker run -ti --rm Ubuntu:14.04 bash 

root@4e3ffb9bc381:/# ip addr show ethO 

6: eth0: <BROADCAST,UP,LONER_UP> mtu 1500 qdisc noqueue state UP group default 
link/ether 02:42:ac:11:2a:03 brd ff:ff:ff:ff:ff:ff 
inet 172.17.42.3/24 scope global eth0 












































实际 上 ， 这 个 容器 拥有 一 个 在 172.17.42.1/16 网 段 的 下 地 址 ( 即 172.17.42.3)， 以 及 一 个 
虚拟 网 络 接口 ( 即 下 面 将 要 看 到 的 veth456b81a 设备 ) ， 这 个 网 络 接口 是 Docker 创建 容器 
时 自动 创建 并 连接 到 桥接 设备 的 。 

可 以 通过 在 Docker 主机 上 执行 ip (或 ifconfig) 命令 来 查看 这 个 设备 。 如 果 安 装 了 
bridge-utils 包 ， 也 可 以 使 用 brctl 工具 。ip 命令 提供 了 一 组 用 于 在 Linux 中 控制 TCP/IP 通 
信 的 工具 。 可 以 在 Linux 基金 会 主页 (https://wiki.linuxfoundation.org/networking/iproute2) 
上 看 到 该 项 目的 文档 。 
























































$ ip -d Link show 


3: docker0: <BROADCAST ,MULTICAST,UP,LONER_UP> mtu 1500 qdisc noqueue state UP ... 
link/ether aa:85:e0:61:69:2d brd ff:ff:ff:ff:ff:ff promiscuity 0 
bridge 

7: veth450b81a: <BROADCAST ,UP,LOWER_UP> mtu 1500 qdisc pfifo fast master docker0 
link/ether aa:85:e0:61:69:2d brd ff:ff:ff:ff:ff:ff promiscuity 1 


veth 
$ brctl show 
bridge name bridge id STP enabled interfaces 
docker0 8000.aa85e061692d no veth450b81a 


可 以 在 容器 中 ping 一 下 网 关 172.17.42.1 ( 即 dockerg) 、 位 于 同一 Docker 主机 上 的 其 他 容 
器 和 外 部 网 络 。 


尔 可 以 从 其 他 控制 台 启 动 一 个 新 容器 来 互相 ping 一 下 。 确 认 一 下 第 二 个 容器 
的 网 络 接口 也 连接 到 了 网 桥 设 备 。 由 于 没有 任何 丢弃 数据 包 的 iptables 规则 ， 
因此 这 两 个 容器 可 以 通过 任何 端口 互相 通信 。 

















3.4.3 讨论 


访问 外 部 的 网 络 流量 将 会 通过 IP 转发 功能 转发 到 Docker 主机 的 其 他 网 络 接口 上 ， 并 通过 
iptables 的 地 址 伪装 规则 进行 NAT 地 址 转换 。 你 可 以 在 Docker 主机 上 通过 下 面 的 命令 来 检 
查 一 下 卫 转发 功能 是 否 已 经 启用 。 














$ cat /proc/sys/net/ipv4/ip_forward 
1 





尝试 一 下 关闭 下 转发 功能 ， 你 就 会 发 现 容器 将 不 能 再 连接 到 外 部 网 络 ， 如 下 
所 示 。 


# echo 0 > /proc/sys/net/ipv4/ip_forward 





也 可 以 查看 为 外 部 通信 而 创建 的 用 于 卫 伪装 的 NAT 规则 ， 如 下 所 示 。 


$ sudo iptables -t nat -L 


Chain POSTROUTING (policy ACCEPT) 
target prot opt source destination 
MASQUERADE all -- 172.17.42.0/24 anywhere 


在 范例 3.7 中 ， 你 将 会 看 到 如 何 从 零 开 始 手动 对 Docker 容器 进行 设置 。 


3.4.4 ”参考 


。 Docker 网 络 官方 文档 (https://docs.docker.com/articles/networking/ ) 
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3.5 选择 容器 网 络 模式 


3.5.1 问题 


在 局 动 一 个 容器 时 ， 你 希望 能 够 选择 一 个 特定 的 网 络 命名 空间 。 对 某 些 在 容器 中 运行 的 特 
定 应 用 程序 ， 你 可 能 希望 使 用 一 个 与 默认 网 桥 网 络 不 一 样 的 网 络 设置 ， 或 者 你 根本 就 不 需 
要 任何 网 络 功 能 。 


3.5.2 ”解决 方案 

在 范例 3.4 中 ， 我 们 使 用 默认 的 docker run 命令 启动 了 一 个 容器 。 这 将 会 把 新 启动 的 容器 
绑 定 到 一 个 Linux 网 桥 设备 ， 并 为 容器 创建 相应 的 网 络 接 口 设备 。 借 助 于 Linux 的 耳 转发 
功能 和 Docker 引擎 所 管理 的 iptables 规则 ，Docker 为 容器 提供 了 对 外 部 网 络 和 NAT 功能 
的 访问 。 
但 是 ， 我 们 也 可 以 以 一 种 不 同 的 网 络 模式 来 启动 新 容器 。 通 过 使 用 docker run 命令 的 
--net 选项 ， 我 们 可 以 选择 主机 模式 、 无 网 络 模式 ， 或 者 选择 与 其 他 容器 共享 网 络 的 模式 。 


让 我 们 在 Docker 主机 上 ， 通 过 使 用 - -net=none 选项 来 启动 一 个 不 带 任何 网 络 功 能 的 容器 ， 
如 下 所 示 。 


$ docker run -it --rm --net=none Ubuntu:14.04 bash 
root@3a22f5076f9a:/# ip -d link show 
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT 
Link/Loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 promiscuity 0 
root@3a22f5076f9a:/# route 
Kernel IP routing table 
Destination Gateway Genmask Flags Metric Ref Use Iface 


在 查看 网 络 设备 时 ， 你 会 发 现 这 个 容器 只 有 一 个 本 地 环 回 设备 ， 没 有 其 他 网 络 设备 ， 也 疫 
有 路 由 信息 。 如 果 需 要 使 用 网 络 ， 只 能 手动 进行 设置 (参见 范例 3.7)。 


现在 让 我 们 通过 - -net=host 选项 来 启动 一 个 host 模式 的 容器 ， 如 下 所 示 。 


$ docker run -it --rm --net=host Ubuntu:14.04 bash 

root@foobar-server:/# ip -d link show 

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT 
Link/Loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 promiscuity 0 

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo fast state ... 
link/ether 08:00:27:98:a7:ad brd ff:ff:ff:ff:ff:ff promiscuity 0 

3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state ... 
link/ether c6:4b:6b:b7:4b:98 brd ff:ff:ff:ff:ff:ff promiscuity 0 
bridge 


查看 这 个 容器 中 的 网 络 设备 ， 将 会 看 到 与 宿主 机 完全 相同 的 结果 ， 包 括 docker9 网 桥 设 备 。 
这 也 意味 着 容器 中 的 进程 被 隔离 在 它 自己 的 命名 空间 中 ， 它 的 资源 被 cgroups 限制 ， 容 器 
的 网 络 命名 空间 和 宿主 是 相同 的 。 你 也 看 到 了 ， 在 上 面 的 例子 中 ， 容 器 中 的 主机 名 与 宿主 
机 的 主机 名 也 是 一 样 的 (可 以 在 使 用 host 网 络 模式 启动 容器 时 指定 h 选项 来 为 容器 设置 主 
机 名 )。 注 意 ， 如 果 这 样 ， 你 将 不 能 在 容器 中 对 网 络 重新 进行 任何 修改 。 比 如 ， 你 不 能 将 
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一 个 网 络 设备 关 掉 ， 如 下 所 示 。 


root@foobar-server:/# ifconfig ethg0 down 
SIOCSIFFLAGS: Operation not permitted 


虽然 host 网 络 模式 很 方便 ， 但 是 在 使 用 时 有 很 多 事 | 


有 了 时候 通过 - -net=host 选项 启动 一 个 容器 可 能 会 比较 危险 ， 尤 其 是 同时 指 
定 --privileged=true 参数 启动 一 个 特权 容器 的 时 候 。host 网 络 模式 可 能 会 
导致 你 在 容器 中 不 小 心 对 主机 中 的 网 络 进行 了 修改 。 如 果 你 打算 以 root 权限 
在 一 个 特权 容器 中 运行 一 个 程序 ， 并 在 启动 时 指定 - -net=host 选项 ， 那 么 
应 用 程序 的 漏洞 就 可 能 会 导致 入 侵 者 控制 你 的 整个 Docker 主机 的 网 络 。 尽 
管 如 此 ，host 网 络 模式 非常 适合 那些 对 网 络 IO 性 能 特别 敏感 的 进程 。 
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最 后 一 种 可 以 选择 的 容器 网 络 模 式 是 与 已 经 启动 的 容器 共享 一 个 网 络 命名 空间 。 让 我 们 启 
动 一 个 容器 并 将 其 主机 名 设置 为 cookbook， 如 下 所 示 。 

$ docker run -it --rm -h cookbook ubuntu:14.04 bash 

root@cookbook: /# ifconfig 


eth0 Link encap:Ethernet HWaddr 02:42:ac:11:00:02 
inet addr:172.17.0.2 Bcast:0.0.0.0 Mask:255.255.0.0 


从 控制 台 上 可 以 看 到 容器 的 主机 名 被 设置 为 cookbook， 了 P 被 设置 为 172.17.0.2， 这 个 容器 
被 连接 到 了 dockerg 网 桥 设备 上 。 

接着 让 我 们 再 启动 第 二 个 容器 ， 该 容器 将 使 用 第 一 个 容器 的 网 络 命名 空间 。 首 先 
列 出 正在 运行 中 的 容器 ， 找 到 刚才 启动 的 容 嚣 名。 启动 第 二 个 容器 时 需要 使 用 
--net=container :CONTAINER_NAME_OR_ID 这 样 的 方式 ， 如 下 所 示 。 





$ docker ps 
CONTAINER ID IMAGE COMMAND ... NAMES 
cc7f72826c36 Ubuntu:14.04 "bash" a cocky_galileo 


$ docker run -ti --rm --net=container:cocky_galileo ubuntu:14.04 bash 
root@cookbook: /# ifconfig 
ethO Link encap:Ethernet HWaddr 02:42:ac:11:00:02 

inet addr:172.17.0.2 Bcast:0.0.0.0 Mask:255.255.0.0 


如 上 面 的 输出 所 示 ， 新 的 容器 具有 与 第 一 个 启动 的 容器 相同 的 主机 名 ， 当 然 也 具有 相同 的 
卫 。 在 每 个 容器 中 的 进程 将 是 隔离 的 ， 存 在 于 自己 的 进程 命名 空间 中 ， 但 是 它们 共享 同一 
网 络 命名 空间 ， 并 可 以 通过 环 回 设备 进行 通信 。 


3.5.3 ”讨论 
使 用 哪 种 网 络 模式 取决 于 你 要 运行 的 应 用 程序 ， 以 及 你 希望 采用 什么 样 的 网 络 结构 。 


Docker 的 网 络 模 型 非常 灵活 ， 可 以 让 你 在 容器 进程 之 间 构 建 任何 网 络 拓扑 结构 和 安全 网 络 
方案 。 
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3.5.4 ”参考 


。 理解 Docker 容器 网 络 (https://docs.docker.com/articles/networking/#container-networking) 


3.6 ”配置 Docker 守 护 进 程 iptables 和 IP 转 发 设 


3.6.1 问题 


也 许 你 不 喜欢 Docker 默认 会 启用 人 P 转发 功能 并 且 修 改 你 的 iptables 规则 表 。 你 希望 能 对 
Docker 主机 上 容器 之 间 以 及 容器 与 外 部 网 络 之 间 的 网 络 流 量 进行 更 精细 的 控制 。 


3.6.2 ”解决 方案 


Docker 默认 的 网 络 设置 对 很 多 人 来 说 也 许 已 经 足够 了 。 但 是 ， 你 可 以 在 启动 Docker 守护 
进程 时 通过 --ip-forward=false 和 --iptables=false 参数 对 Docker 的 网 络 进行 定制 。 本 
范例 将 会 为 你 介绍 如 何 进行 这 样 的 定制 。 


要 想 修改 Docker 的 默认 网 络 设置 ， 首 先 需 要 停止 Docker 守护 进程 。 在 类 似 Ubuntu 这 样 
基于 Debian 的 发 行 版 中 ， 编 辑 /etc/default/docker 文件 ， 然 后 将 这 两 个 参数 设 为 false (在 
CentOS/RHEL 系统 下 编辑 /etc/sysconfig/docker 文件 ) ， 如 下 所 示 。 

$ sudo service docker stop 

$ sudo su 


# echo DOCKER_OPTS=\"--iptables=false --ip-forward=false\" >> /etc/default/docker 
# service docker restart 











必须 在 重启 Docker 守护 进程 之 前 ， 手 动 删除 postrouting 规则 然后 将 卫 转发 
标志 设置 为 0。 在 Docker 主机 上 可 以 运行 下 面 的 命令 来 完成 上 述 内 容 。 
# iptables -t nat -D POSTROUTING 1 


# echo 0 > /proc/sys/net/ipv4/ip_forward 
# service docker restart 








在 这 种 配置 下 ， 经 过 Docker 网 桥 dockerg 的 通信 流量 都 不 会 被 转发 到 容器 的 网 络 接口 上 ， 
也 不 会 添加 postrouting 和 masquerading 规则 。 这 意味 着 所 有 来 自 容 器 对 外 部 的 网 络 访问 请 
求 都 会 被 丢弃 。 

可 以 启动 一 个 新 容器 来 尝试 访问 一 下 外 部 网 络 ， 以 验证 上 述 结论 ， 比 如 像 下 面 这 样 。 


$ docker run -让 --rm ubuntu:14.04 bash 
WARNING: IPv4 forwarding is disabled. 





root@ba1i2d578e6c8:/# ping -c 2 -WS5 8.8.8.8 
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data. 


- 8.8.8.8 ping statistics --- 
2 packets transmitted, © received, 100% packet loss, time 1009ms 


要 想 手 动 恢 复 容器 对 外 部 网 络 的 访问 ， 需 要 在 Docker 主机 上 启用 亿 和 转发 并 设置 
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postrouting 规则 ， 像 下 面 这 样 。 


# echo 1 > /proc/sys/net/ipv4/ip_forward 
# iptables -t nat -A POSTROUTING -s 172.17.0.0/16 -j MASQUERADE 


然后 回 到 刚才 容器 的 终端 控制 台 ， 再 试 着 ping 一 下 8.8.8.8， 这 时 候 通 信 流 量 应 该 能 被 路 
由 到 宿主 机 之 外 了 。 


如 果 启 用 了 Docker 守护 进程 的 --iptables=false 标志 ， 就 不 能 再 对 容器 
之 间 的 通信 进行 限制 (即使 用 --icc=false)， 因 此 这 时 Docker 已 经 不 能 
iptables 规则 进行 管理 了 。 这 也 意味 着 ， 所 有 连接 到 同一 Docker 网 桥 设 备 的 
容器 都 可 以 使 用 任何 端口 进行 通信 。 可 以 阅读 接 下 来 的 讨论 部 分 来 了 解 这 方 
面 的 内 容 。 





















































3.6.3 ”讨论 

默认 情况 下 ，Docker 守护 进程 可 以 对 宿主 机 上 的 iptables 规则 进行 修改 。 也 就 是 说 ， 
Docker 可 以 添加 用 于 限制 容器 之 间 网 络 通 信和 的 iptables 规则 ， 以 实现 容器 之 间 的 网 络 隔离 。 
如 果 禁 止 了 Docker 对 iptables 规则 的 修改 ， 它 将 不 能 添加 用 于 限制 容器 间 通 信和 的 规则 。 


如 果 人 允许 Docker 去 修改 iptables 规则 ， 你 可 以 为 Docker 守护 进程 添加 --icc=false 选项 。 
这 将 会 为 Docker 网 桥 上 的 数据 包 添 加 一 个 默认 丢弃 的 规则 ， 容 器 之 间 也 不 能 互相 访问 。 


可 以 修改 Docker 配置 文件 (在 Ubuntu/Debian 系统 下 为 /etc/default/docker， 在 CentOS/ 
RHEL 下 为 /etc/sysconfig/docker)， 添 加 --icc=false 选项 。 重启 Docker 守护 进程 后 再 启动 
两 个 容器 ， 你 就 会 看 到 这 两 个 容器 之 间 互 相 是 ping 不 通 的 。 


鉴于 这 大 大 限制 了 容器 间 互 相通 信 的 能 力 ， 要 如 何 才能 让 两 个 容器 互相 通信 呢 ?” 可 以 通过 
容器 链接 来 解决 ， 这 会 创建 一 个 专用 的 iptables 规则 (参见 范例 3.3)。 


允许 从 Docker 主机 ping 所 有 容器 ， 如 下 所 示 。 


$ sudo iptables -A DOCKER -p icmp --icmp-type echo-request -j ACCEPT 
$ sudo iptables -A DOCKER -p icmp --icmp-type echo-reply -j ACCEPT 


3.7 通过 Pipework 理 解 容器 网 络 


3.7.1 问题 


Docker 内 建 的 网 络 功 能 已 经 很 不 错 了 ,但 是 你 想 使 用 一 种 实用 的 方法 ， 利 用 传统 的 网 络 工 
具 为 容器 创建 网 络 接 口 。 


3.7.2 解决 方案 


这 是 一 个 比较 高 级 的 范例 ， 意 在 提供 关于 Docker 网 络 机 制 的 更 深入 的 知识 。 如 果 只 是 使 用 
Docker， 本 范例 的 内 容 和 这 里 面 提 到 的 工具 都 不 是 必需 的 。 但 是 ， 为 了 更 好 地 理解 Docker 
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网 络 ， 你 可 能 想 去 试用 一 下 Pipework (https://github.com/jpetazzo/pipework)。Pipework 是 
由 Docker 公司 的 Jerome Petazzoni 在 2013 年 创建 的 工具 ， 它 通过 cgroups 和 网 络 命名 空间 
来 创建 容器 网 络 。 最 初 它 只 支持 纯 LXC 容器 ， 不 过 现在 已 经 支持 Docker 容器 了 。 如 果 通 
过 --net=none 选项 启动 一 个 容器 ， 那 么 你 可 以 非常 方便 地 使 用 Pipework 对 容器 进行 网 络 
设置 。 如 果 你 想 获得 关于 Docker 网 络 更 详细 的 知识 ， 这 将 是 一 个 很 好 的 锻炼 机 会 ， 虽然 
我 们 在 日 常 使 用 和 生产 环境 下 并 不 会 这 么 用 。 


并 不 是 只 能 使 用 Pipework 来 运行 Docker 或 者 管理 容器 的 连通 性 。 这 个 范例 
是 为 那些 希望 通过 手动 在 容器 网 络 命名 空间 创建 网 络 协 议 栈 ， 并 想 获得 更 高 
级 知识 的 读者 准备 的 。 你 可 以 使 用 Pipework， 阅 读 一 下 它 的 bash 脚本 ， 你 
将 会 学 到 更 多 的 知识 ， 你 将 学 习 到 创建 一 个 容器 网 络 所 需 的 所 有 详细 到 每 一 
步 的 指令 。 



























































虽然 通过 Pipework 能 实现 的 功能 几乎 都 内 置 在 Docker 中 了 ， 但 是 Pipework 仍 不 失 为 一 个 
伟大 的 工具 : 使 用 该 工具 可 以 对 Docker 网 络 进行 逆向 工程 ， 深 入 了 解 容器 之 间 以 及 容器 
与 外 部 之 间 是 如 何 通信 的 。 本 范例 将 介绍 几 个 例子 ， 你 可 以 解构 Docker 的 网 络 功能 ， 更 
得 心 应 手 地 对 不 同 的 网 络 命名 空间 进行 控制 。 


Pipework 是 一 个 单一 的 bash 脚本 文件 ， 你 可 以 免费 下 载 (https://raw.githubusercontent.com/jpetazzo/ 
pipework/master/pipework)。 为 了 方便 使 用 ， 我 创建 了 一 个 Vagrant 虚拟 机 ， 并 将 Pipework 放 到 了 
里 面 。 你 可 以 克隆 这 个 Git 仓库 ， 然 后 启动 Vagrant 虚拟 机 以 使 用 Pipework。 


$ git clone https://github.com/how2dock/docbook 
$ cd ch03/simple 

$ vagrant up 

$ vagrant ssh 

vagrant@foobar -server:~$ cd /vagrant 
vagrant@foobar-server:/vagrants$ ls 

pipework Vagrantfile 


让 我 们 通过 - -net=none 选项 启动 一 个 不 带 网 络 功能 的 容器 ， 如 同 范例 3.5 那样 。 


$ docker run -it --rm --net none --name cookbook ubuntu:14.04 bash 

root@556d04d8637e:/# ip -d link show 

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode ... 
Link/Loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 promiscuity 0 


在 该 Docker 主机 的 另 一 个 终端 中 ， 让 我 们 使 用 Pipework 来 创建 一 个 网 桥 设备 br06， 为 容 
器 分 配 一 个 IP 地 址 ， 然 后 设置 从 容器 到 网 桥 的 正确 路 由 信息 ， 如 下 所 示 。 
$ cd /vagrant 


$ sudo ./pipework br0 cookbook 192.168.1.10/24@192.168.1.254 
Warning: arping not found; interface may not be immediately reachable 


在 容器 中 ， 确 认 etht 设备 已 启用 ， 并 且 路 由 信息 已 经 设置 好 ， 如 下 所 示 。 


root@556d04d8637e:/# ip -d Link show eth1 
7: eth1: <BROADCAST ,MULTICAST,UP,LONER_UP> mtu 1500 qdisc pfifo fast state UP ... 
link/ether a6:95:12:b9:8f:55 brd ff:ff:ff:ff:ff:ff promiscuity 0 
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veth 
root@556d04d8637e:/# route 
Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref Use Iface 
default 192.168.1.254 0.0.0.0 UG 0 0 0 eth1 
192.168.1.0 代 255.255.255.0 U 0 0 0 eth1 


现在 ， 如 果 查 看 该 Docker 主机 上 的 网 络 设备 列表 ， 除 了 默认 的 docker9 网 桥 设 备 ， 你 还 会 
看 到 多 出 来 一 个 bre 设备 ， 如 果 查 看 网 桥 信 息 (使 用 bridge-utils 软件 包 的 brctt 命令 )， 你 
将 会 看 到 由 pipework 创建 并 连接 到 brg 的 虚拟 以 太 网 接口 ， 如 下 所 示 。 


$ ip -d Link show 




















3: docker0: <N0-CARRIER ,BROADCAST ,MULTICAST ,UP> mtu 1500 qdisc noqueue state \ 
DOWN mode DEFAULT group default 
link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff promiscuity 0 
bridge 
8: br0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state \ 
DOWN mode DEFAULT group default 
link/ether 22:43:24:f5:91:7e brd ff:ff:ff:ff:ff:ff promiscuity 0 
bridge 
10: veth1pL31668: <NO-CARRIER, BROADCAST ,MULTICAST ,UP> mtu 1500 qdisc \ 
pfifo_fast master br9 state DOWN mode DEFAULT group default qlen 1000 
Link/ether 22:43:24:f5:91:7e brd ff:ff:ff:ff:ff:ff promiscuity 1 


veth 
$ brctL show 
bridge name bridge id STP enabled interfaces 
bro 8000.224324f5917e no veth1pL31668 
docker0 8000 .000000000000 no 








到 这 里 ， 你 就 已 经 可 以 在 宿主 机 上 访问 容器 了 ， 也 可 以 从 容器 cookbook 中 访问 其 他 容器 
了 。 但 是 ， 如 果 你 尝试 访问 宿主 机 外 部 ， 就 会 发 现 不 能 正常 工作 。 这 是 因为 没有 相应 的 
NAT 地 址 伪装 规则 ， 而 这 个 NAT 地 址 伪装 规则 在 默认 情况 下 会 由 Docker 自动 添加 。 在 
Docker 宿主 机 上 添加 相应 的 iptables 规则 ， 然 后 尝试 在 容器 交互 终端 上 ping 8.8.8.8， 如 下 
所 示 。 


# iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE 
在 容 嚣 中， 确认 是 否 可 以 访问 到 Docker 主机 的 外 部 ， 如 下 所 示 。 


root@556d04d8637e:/# ping 8.8.8.8 

PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data. 

64 bytes from 8.8.8.8: icmp_seq=1 ttL=61 time=22.6 ms 
64 bytes from 8.8.8.8: icmp_seq=2 ttl=61 time=23.8 ms 
64 bytes from 8.8.8.8: icmp_seq=3 ttl=61 time=23.9 ms 




















Pipework 还 可 以 做 很 多 事情 ， 所 以 请 先 浏 览 一 下 它 的 README 文件 (https://github.com/ 
jpetazzo/pipework)， 并 阅读 一 下 它 的 bash 脚本 文件 ， 以 获得 对 网 络 命 名 空间 更 深入 的 理解 。 


3.7.3 讨论 
尽管 Pipework 非常 强大 ， 你 可 以 在 启动 容器 时 使 用 --net=none 选项 ， 然 后 通过 Pipework 
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创建 正常 工作 的 网 络 协议 栈 ， 但 是 Pipework 还 隐藏 了 一 些 控制 容器 网 络 命名 空间 的 细节 。 
如 果 阅 读 一 下 Pipework 的 代码 ， 你 就 会 知道 它 是 如 何 工 作 的 。Docker 文档 (https://docs. 
docker.com/articles/networking/#container-networking) 对 此 也 有 详细 的 说 明 。 不 管 是 对 于 网 
络 还 是 对 于 容器 ， 这 都 是 一 个 很 好 的 练习 ， 推 荐 各 位 阅读 一 下 这 些 文档 。 

这 部 分 的 讨论 不 是 专门 来 讲 Pipework 的 ， 而 是 为 了 让 你 了 解构 建 容器 网 络 协 

议 栈 所 需要 的 步骤 。 这 对 充分 理解 容器 网 络 和 对 Docker 的 工作 原理 进行 逆 

向 工程 非常 有 用 。 























让 我 们 再 来 看 一 条 Pipework 命令 ， 如 下 所 示 。 
$ sudo ./pipework br0 cookbook 192.168.1.10/24@192.168.1.254 
这 条 命令 完成 了 下 面 这 些 工 作 。 
。 在 宿主 机 上 创建 网 桥 设备 br0。 
。 分 配 IP 地 址 192.168.1.254。 
。 在 容器 内 部 创建 一 个 网 络 接口 ， 并 为 其 分 配 IP 地 址 192.168.1.19。 
。 最 后 在 容器 内 部 添加 路 由 信息 ， 将 网 桥 设置 为 默认 网 关 。 
下 面 我 们 不 使 用 Pipework， 一步 一 步 地 进行 上 述 设 置 。 首 先 我 们 添加 一 个 brg 的 网 桥 设 
备 ， 并 为 其 分 配 IP 地 址 192.168.1.254。 如 果 你 之 前 使 用 过 虚拟 机 进行 虚拟 化 工作 ， 应 该 
会 对 这 些 操作 比较 熟悉 。 如 果 你 还 不 大 熟悉 ， 那 么 请 跟着 操作 : 使 用 brctt 工具 创建 一 个 
网 桥 设 备 ， 用 ip 名 为 网 桥 添 加 IP 地址 ， 最 后 启用 网 桥 设备 。 


如 有 果 你 已 经 按照 前 面 的 步骤 进行 了 操作 ， 你 可 能 需要 先 删除 已 经 存在 的 bre 网 桥 ， 如 下 所 示 。 


$ sudo ip Link set br down 
$ sudo brctl delbr bro 


然后 就 可 以 再 做 一 遍 之 前 的 配置 了 ， 不 过 这 次 都 是 手动 进行 的 。 


$ sudo brctl addbr brg 
$ sudo ip addr add 192.168.1.254/24 dev br0 
$ sudo ip Link set dev brg up 


与 完全 网 络 虚拟 化 相 比 ， 这 其 中 巧妙 的 部 分 是 你 的 操作 对 象 是 容器 ， 并 且 它 的 网 络 协 议 栈 
是 宿主 机 上 一 个 不 同 的 网 络 命名 空间 。 要 想 为 容器 分 配 网 络 接口 ， 你 需要 把 这 个 网 络 接口 
分 配给 容器 将 使 用 的 网 络 命名 空间 。 分 配 到 某 个 特定 网 络 命名 空间 的 接口 是 一 个 虚拟 以 大 
网 接口 对 。 这 些 设 备 对 就 像 是 一 个 管道 : 管道 的 一 端 位 于 容器 的 网 络 命名 空间 中 ， 另 一 端 
位 于 在 Docker 宿主 机 上 所 创建 的 网 桥 设备 上 。 

下 面 ， 就 让 我 们 来 创建 一 个 veth 对 foo、bar， 并 将 foo 连接 到 网 桥 bro 上 ， 如 下 所 示 。 


$ sudo ip link add foo type veth peer name bar 
$ sudo brctl addif br0 foo 
$ sudo ip link set foo up 



















































































可 以 通过 ip -d Link show 命令 来 检查 一 下 上 面 操作 的 结果 。 该 命令 会 创建 一 个 新 的 网 桥 
设备 br0， 并 且 将 一 个 名 为 foo 的 veth 设备 连接 到 这 个 网 桥 上 ， 如 下 所 示 。 


$ ip -d Link 
1: Lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT \ 
group default 

Link/Loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 promiscuity 0 
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state \ 
UNKNOWN mode DEFAULT group default qlen 1000 

link/ether 08:00:27:98:a7:ad brd ff:ff:ff:ff:ff:ff promiscuity 0 
3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state \ 
DOWN mode DEFAULT group default 

link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff promiscuity 0 

bridge 
6: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode \ 
DEFAULT group default 

link/ether ee:7d:7e:f7:6f:18 brd ff:ff:ff:ff:ff:ff promiscuity 0 

bridge 
8: foo: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo fast master bro \ 
state UP mode DEFAULT group default qlen 1000 

link/ether ee:7d:7e:f7:6f:18 brd ff:ff:ff:ff:ff:ff promiscuity 1 





veth 
$ brctl show 
bridge name bridge id STP enabled interfaces 
br0 8000.ee7d7ef76f18 no foo 
docker0 8000 .000000000000 not 


L 


亚 


请 不 要 将 你 的 veth 对 命名 为 常见 的 ethg 或 eth1， 因 为 这 会 与 9 
的 硬件 设备 冲突 。 


内 


主机 上 已 有 








让 我 们 更 深入 地 了 解 一 下 ， 当 你 以 --net= none 的 方式 启动 容器 时 ， 它 也 会 创建 相应 的 网 
络 命名 空间 ， 但 是 其 中 除了 环 回 设备 之 外 ， 设 有 其 他 网 络 设备 。 现 在 ， 你 想 要 对 容器 的 网 
络 进行 配置 〈 例 如 ， 增 加 一 个 网 络 接口 ， 设 置 路 由 信息 )。 首 先 ， 你 需要 找到 网 络 命名 空 
间 ID。Docker 将 容器 的 网 络 命名 空间 保存 在 /var/run/docker/netns 下 面 ， 这 并 不 是 Linux 
系统 默认 的 命名 空间 保存 位 置 。 为 了 能 够 正常 地 使 用 ip 工具 ， 你 需要 使 用 一 些 非 常规 的 
技巧 ， 并 将 /var/run/docker/netns 链接 到 /var/run/netns， 后 者 也 是 ip 命令 默认 查找 网 络 命名 
空间 的 位 置 。 完 成 了 上 述 操作 后 ， 你 就 可 以 列 出 现 有 的 网 络 命名 空间 。 然 后 你 会 发 现 ， 该 
容器 网 络 命 名 空间 的 ID 就 是 是 容器 的 ID。 

$ cd /var/run 

$ sudo ln -s /var/run/docker/netns netns 

$ sudo ip netns 


c785553b22al 
$ NID=$(sudo ip netns) 


接着 ， 我 们 就 通过 ip link set netns 命令 将 veth 的 另 一 端 bar 放 入 到 容器 的 命名 空间 中 ， 
并 通过 ip netns exec 命令 在 该 命名 空间 下 为 其 设置 一 个 名 称 和 MAC 地 址 ， 如 下 所 示 。 
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$ sudo ip Link set bar netns SNID 

$ sudo ip netns exec SNID ip link set dev bar name eth1 

$ sudo ip netns exec SNID ip link set eth1 address 12:34:56:78:9a:bc 
$ sudo ip netns exec SNID ip link set eth1 up 





最 后 一 步 工 作 是 为 容器 内 的 ethl 设备 分 配 一 个 卫 地 址 ， 并 设置 一 个 默认 的 路 由 。 这 样 ， 
该 容器 就 可 以 通过 网 络 连 接 到 Docker 宿主 机 以 及 外 部 网 络 了 ， 如 下 所 示 。 

$ sudo ip netns exec SNID ip addr add 192.168.1.1/24 dev eth1 

$ sudo ip netns exec SNID ip route add default via 192.168.1.254 
这 就 是 需要 做 的 全 部 工作 。 目 前 为 止 ， 该 容器 已 经 与 上 面 使 用 Pipework 通过 一 条 命令 创建 
的 容器 具有 相同 的 网 络 功 能 。 














记 住 ， 如 果 你 想 访问 容器 外 部 网 络 ， 就 要 添加 如 下 的 IP NAT 地 址 伪装 规则 。 





$ sudo iptables -t nat -A POSTROUTING -s 192.168.0.0/24 
-j MASQUERADE 


3.7.4 参考 
。 Pipework 关于 各 种 使 用 场景 的 README 文件 (https://github.com/jpetazzo/pipework) 


。 Docker 容器 网 络 原理 (https://docs.docker.com/articles/networking/#container-networking) 
。 ip netns 手册 (http:/man7.org/linux/man-pages/mang8/ip-netns.8.html) 
。 Linux 网 络 命 名 空间 简介 (http://blog.scottlowe.org/2013/09/04/introducing-linux-network- 


namespaces/ ) 


3.8 定制 Docker 网 桥 设 备 


3.8.1 问题 
你 想 创建 一 个 自己 的 Docker 网 桥 设 备 ， 以 取代 Docker 默认 的 网 桥 。 


3.8.2 解决 方案 

创建 一 个 网 桥 设 备 ， 并 在 启动 Docker 守护 进程 时 使 用 这 个 网 桥 设备 。 

在 范例 3.7 的 解决 方案 中 ， 你 已 经 学 习 了 如 何在 以 --net=none 选项 启动 的 容器 中 构建 完整 
的 网 络 协议 栈 。 范 例 3.7 也 介绍 了 如 何 创建 一 个 网 桥 设备 。 这 里 我 们 将 重用 在 范例 3.7 中 
讨论 过 的 内 容 。 

首先 ， 让 我 们 来 停止 Docker 守护 进程 ， 删 除 Docker 默认 创建 的 docker9 网 桥 设备 ， 然 后 
创建 一 个 新 的 名 为 cookbook 的 网 桥 设 备 ， 如 下 所 示 。 


sudo service docker stop 
sudo ip Link set dockerQ down 
sudo brctl delbr docker0 





























UU 
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$ sudo brctl addbr cookbook 
$ sudo ip link set cookbook up 
$ sudo ip addr add 10.0.0.1/24 dev cookbook 





现在 ， 新 的 网 桥 设 备 已 经 启用 ， 你 可 以 编辑 Docker 守护 进程 的 配置 文件 ， 然 后 重启 
Docker 守护 进程 (比如 在 ee 上 )， 如 下 所 示 。 
$ sudo su 


# echo 'DOCKER_OPTS="-b=cookbook"' >> /etc/default/docker 
# service docker restart 


你 可 以 启动 一 个 容器 并 查看 Docker 为 它 分 配 的 IP 地址， 然后 测试 网 络 连 通 性 ， 如 下 所 示 。 


root@c557cdb072ba:/# ip addr show eth0 

10: eth0: <BROADCAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
link/ether 02:42:0a:00:00:02 brd ff:ff:ff:ff:ff:ff 
inet 10.0.0.2/24 scope global eth0 





像 我 们 预测 的 那样 ，Docker 也 为 新 的 网 桥 设备 自动 创建 了 NAT 规则 ， 如 下 所 示 。 


$ sudo iptables -t nat -L 





Chain POSTROUTING (policy ACCEPT) 
target prot opt source destination 
MASQUERADE all -- 10.0.0.0/24 anywhere 


3.8.3 讨论 

尽管 你 可 以 手动 完成 以 上 操作 ， 但 是 上 面 创 建 的 cookbook 网 桥 与 默认 的 docker9 网 桥 设备 
没有 什么 差别 。 

如 果 想 修改 Docker 容器 通过 默认 的 网 络 模式 (比如 网 桥 ) 启动 时 所 分 配 的 卫 地址 范 目 
可 以 使 用 --bip 选项 。 你 也 可 以 使 用 --fixed-cidr 选项 来 限制 这 个 全 范围 ， 或 者 使 用 
--mtu 选项 来 设置 MTU 的 大 小 。 

要 想 关 闭 一 个 网 桥 设 备 ， 可 以 使 用 以 下 命令 。 


$ sudo ip link set cookbook down 
$ sudo brctl delbr cookbook 


3.9 ”在 Docker 中 使 用 OVS 


3.9.1 问题 


你 已 经 知道 了 如 何 使 用 自 定义 的 网 桥 设备 来 为 你 的 Docker 容器 设置 网 络 (参见 范例 3.8)， 
但 是 你 想 使 用 虚拟 交换 机 软件 Open vSwitch (OVS) 来 代替 标准 的 Linux 网 桥 设 备 。 也 
许 你 想 构 建 自 己 的 GRE 或 基于 VXLAN 的 覆盖 网 络 ， 或 者 你 想 使 用 网 络 控制 器 来 构建 
一 个 软件 定义 网 络 解决 方案 。 通 过 使 用 OpenFlow 协议 (https:/www.opennetworking.org/ 
openflow) 和 OVSDB 管理 协议 (https://tools.ietf.org/htmlrfc7047)，OYVS 提供 了 非常 实用 
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的 扩展 和 控制 功能 。 


3.9.2 ”解决 方案 


在 Docker 1.7 中 ， 还 没有 对 Open vSwitch 的 原生 支持 。 虽 然 也 可 以 使 用 
Open vSwitch， 但 是 你 可 能 需要 类 似 Pipework (参见 范例 3.7) 的 工具 ,或 者 
一 个 称 为 ovs-docker (https://github.com/openvswitch/ovs/blob/master/utilities/ovs- 
docker) 的 软件 ， 或 者 手动 构建 容器 的 网 络 协议 栈 。 在 将 来 的 DockerNetwork 
版 本 中 (参见 范例 3.14) ， 应 该 会 有 对 Open vSwitch 的 原生 支持 。 














使 用 Open vSwitch (http://openvswitch.org) 作为 网 桥 ， 并 在 Docker 守护 进程 的 配置 文件 
中 指定 该 网 桥 设 备 。 


首先 需要 在 Docker 主机 上 安装 OVS 的 软件 包 ， 比 如 ， 在 Ubuntu 14.04 上 使 用 如 下 命令 。 


$ sudo apt-get -y install openvswitch-switch 








如 果 你 想 使 用 最 新 版 本 的 Open vSwitch， 可 以 从 它 的 源 代 码 (https://github. 
com/openvswitch/ovs) 进行 构建 ， 这 也 非常 简单 。 





现在 创建 一 个 桥接 设备 并 启动 它 ， 如 下 所 示 。 


$ sudo ovs-vsctl add-br ovs-cookbook 
$ sudo ip link set ovs-cookbook up 


现在 你 就 可 以 使 用 Pipework (参见 范例 3.7) 来 构建 连接 到 该 Open vSwitch 上 的 容器 的 网 
络 协议 栈 了 。 
在 启动 容器 时 ， 不 指定 任何 网 络 协议 栈 ( 即 - -net=none) ， 如 下 所 示 。 


$ docker run -it --rm --name foobar --net=none Ubuntu:14.04 bash 
root@8fda6e33eb88: /# 


在 该 Docker 主机 的 另 一 个 终端 中 ， 使 用 Pipework 在 你 的 foobar 容器 中 创建 一 个 网 络 接口 
(需要 确保 已 经 安装 了 Pipework) ， 如 下 所 示 。 
$ sudo su 


# ./pipework ovs-cookbook foobar 10.0.0.10/24@10.0.0.1 
# ovs-vsctl list-ports ovs-cookbook 








veth1pL31350 
你 的 网 桥 设 备 也 会 由 Pipework 设置 一 个 10.0.0.1 的 卫 地 址 ， 如 下 所 示 。 
$ ifconfig 


ovs-cookbook Link encap:Ethernet HWaddr 36:b1:d3:e5:fc:44 
inet addr:10.0.0.1 Bcast:0.0.0.0 Mask:255.255.255.0 


该 容器 现在 也 拥有 了 一 个 网 络 设备 接口 ， 如 下 所 示 。 
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root@8fda6e33eb88:/# ifconfig 
eth1 Link encap:Ethernet HWaddr 52:fe:9f:78:b7:fc 
inet addr:10.0.0.10 Bcast:0.0.0.0 Mask:255.255.255.04 





你 也 可 以 通过 使 用 ip netns 命令 来 手动 创建 这 个 网 络 接口 ， 正 如 范例 3.7 的 讨论 部 分 所 述 
的 那样 。 


3.9.3 ”参考 


。 Open vSwitch 官方 网 站 (http://openvswitch.org) 


3.10 在 Docker 主 机 间 创 建 GRE 隧 道 


3.10.1 问题 
你 需要 在 位 于 不 同 Docker 主机 上 的 容器 中 使 用 它们 独立 的 IP 地 址 进行 网 络 通信 。 


3.10.2 ”解决 方案 


有 几 个 范例 (参见 范例 3.11 和 范例 3.13) 介绍 了 一 些 可 以 用 于 生产 环境 的 解决 方案 。 在 本 
范例 的 例子 中 ， 我 们 将 会 介绍 如 何 一 步 一 步 地 构建 多 主机 网 络 环境 ， 为 帮助 你 理解 Docker 
网 络 黄 定 一 个 坚实 的 基础 。 
为 了 在 多 主机 环境 下 为 容器 提供 网 络 互 连 功 能 ， 可 以 构建 一 个 通用 路 由 封装 (Generic 
Routing Encapsulation，GRE) 来 对 IPv4 通信 进行 封装 ， 并 为 容器 之 间 互 连 提 供 基于 容器 
私有 地 址 的 路 由 。 为 了 展示 这 一 技术 ， 你 需要 局 动 两 台 Docker 主机 并 进行 网 络 配置 ， 如 
到 3-2 所 示 。 








到 | 


















































bar: 172.17.255.254 
eth0: 10.0.2.15| eth1: 192.168.33.12 











GRE 隧 道 








Docker 网 络 | 83 


host-1 的 卫 地址 为 192.168.33.11。 我 们 将 会 为 网 桥 dockerg 分 配 卫 地 址 172.17.0.1， 并 
创建 一 个 GRE 隧道 端点 ， 其 卫 地 址 为 172.17.0.2。Docker 会 为 在 该 主机 上 启动 的 容器 分 
配 一 个 位 于 172.17.0.0/17 网 络 中 的 全 地址。 


host-2 的 IP 地 址 为 192.168.33.12。 我 们 将 会 为 网 桥 dockerg 分配 IP 地址 172.17.128.1， 
并 创建 一 个 GRE 隧道 端点 ， 其 全 地 址 为 172.17.128.2。Docker 会 为 在 该 主机 上 启动 的 容 
器 分 配 一 个 位 于 172.17.128.0/17 网 络 中 的 IP 地 址 。 


将 一 个 /16 位 的 网 络 分 割 为 两 个 /17 位 的 网 络 ， 并 将 这 两 个 子 网 分 配给 不 同 的 主机 ， 这 样 
就 能 确保 两 台 主机 上 的 容器 不 会 出 现 卫 冲突 的 问题 。 


你 可 以 使 用 这 个 Vagrantfile (https://github.com/how2dock/docbook/blob/master/ch03/gresimple/ 
Vagrantfile) 的 配置 来 运行 该 示例 。 每 台 主 机 都 安装 了 最 新 稳定 版 的 Docker 程序 ， 以 及 两 个 
网 络 设备 接口 : 一 个 NAT 接口 用 来 提供 对 外 部 网 络 的 连通 性 ， 一 个 私有 网 络 的 网 络 接口 。 


为 了 避免 可 能 出 现 的 错误 ， 第 一 件 需要 做 的 事情 是 停止 Docker 引擎 并 且 删 除 在 配置 
Docker 时 创建 的 dockerge 网 桥 设 备 。 需 要 在 你 所 有 的 Docker 主机 上 执行 以 下 操作 。 

$ sudo su 
service docker stop 


ip link set docker0 down 
ip link del docker0 


现在 就 可 以 在 两 台 主 机 之 间 创 建 GRE 隧道 了 。 创 建 GRE 隧道 并 不 需要 Open vSwitch， 只 
需要 使 用 ip 命令 即 可 。 如 果 使 用 了 前 面 提 到 的 Vagrantfile 文件 ， 请 在 第 一 台 耳 地 址 为 
192.168.33.11 的 主机 上 执行 以 下 操作 。 

# ip tunneL add foo mode gre local 192.168.33.11 remote 192.168.33.12 

# ip link set foo up 


# ip addr add 172.17.127.254 dev foo 
# ip route add 172.17.128.0/17 dev foo 


如 果 没 有 使 用 前 面 提 到 的 Vagrantfile， 那 么 你 需要 在 最 初 的 ip tunnel 命令 中 ， 将 指向 
local 和 remote 端点 的 卫 地 址 替换 为 你 的 两 台 Docker 主机 的 实际 卫 地 址 。 前 面 的 四 条 命 
令 首 先 创建 了 一 个 名 为 foo 的 GRE 隧道 。 然 后 你 启用 了 该 隧道 并 为 其 分 配 了 一 个 全 地 址 。 
接着 你 添加 了 一 条 路 由 信息 ， 让 所 有 发 送 到 172.17.128.6/17 的 网 络 流量 都 经 过 该 隧道 。 


在 第 二 台 主 机 上 ， 执 行 前 面 的 步骤 来 创建 隧道 的 另 一 端 。 将 隧道 的 另 一 端 命名 为 bar， 然 
后 添加 路 由 信息 让 所 有 发 送 到 172.17.9.0/117 的 流量 都 经 过 这 个 隧道 ， 如 下 所 示 。 

# ip tunneL add bar mode gre local 192.168.33.12 remote 192.168.33.11 

# ip link set bar up 


# ip addr add 172.17.255.254 dev bar 
# ip route add 172.17.0.0/17 dev bar 


一 旦 隧道 启动 ， 你 可 以 验证 一 下 是 否 能 强制 使 用 隧道 并 且 能 ping 通 。 现 在 ， 就 让 我 们 在 两 
台 主 机 上 启动 Docker。 首 先 ， 需 要 对 每 个 Dockr 守护 进程 进行 设置 ， 指 定 分 配给 容器 的 正 
确 子 网 ， 以 及 为 dockerg 网 桥 指 定 正确 的 IP 地 址 。 要 做 到 这 一 点 ， 可 以 编辑 Docker 守护 
进程 的 配置 文件 ， 并 使 用 --bip 和 --fixed-cidr 这 两 个 参数 。 

在 host-1 上 ， 相 应 的 配置 项 如 下 所 示 。 
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# echo DOCKER_OPTS=\"--bip=172.17.0.1/17 --fixed-cidr=172.17.0.0/17\" \ 
>> /etc/default/docker 


host-2 上 的 配置 项 如 下 所 示 。 


# echo DOCKER_OPTS=\"--bip=172.17.128.1/17 --fixed-cidr=172.17.128.0/17\" \ 
>> /etc/default/docker 


如 果 你 选择 了 不 同 的 分 区 方案 或 者 拥有 超过 两 台 的 主机 ， 那 么 请 相应 地 重复 上 述 操作 。 





由 于 Docker 将 会 打开 卫 转发 功能 ， 所 有 经 过 dockerg 的 通信 流量 将 会 被 转 
发 到 foo 和 bar， 因 此 我 们 不 需要 将 任何 隧道 的 其 中 一 端 连 接 到 网 桥 设备 上 。 











现在 ， 剩 下 的 全 部 工作 就 是 重启 Dcoker 了 。 然 后 你 可 以 在 每 台 主 机 上 启动 一 个 容器 ， 你 
会 看 到 ， 它 们 可 以 通过 Docker 分 配 的 私有 卫 地 址 直接 进行 网 络 通信 。 


3.10.3 讨论 


有 多 种 方法 可 以 构建 一 个 Docker 主机 的 覆盖 网 络 。Docker Network (参见 范例 3.14) 将 
会 在 Docker 1.8 中 发 布 ， 允许 你 使 用 内 建 的 功能 来 创建 VXLAN 覆盖 网 络 。 也 有 一 些 第 
三 方 的 方案 可 供 选 择 ， 比 如 Weave (参见 范例 3.11) 或 者 Flannel (参见 范例 3.13)。 随 着 
Docker 插件 框架 的 日 趋 成 熟 ， 这 些 类 型 的 功能 也 将 会 发 生 显著 的 变化 。 比 如 ，Weave 和 
Flannel 将 会 以 Docker 插件 的 形式 提供 ， 而 不 是 作为 独立 的 网 络 配 置 。 


3.10.4 参考 


。 Vincent Viallet 发 表 于 Wiredcraft 的 博客 (http://wiredcraft.com/blog/multi-host-docker- 
network/) ， 也 是 本 范例 灵感 的 来 源 。 


3.11 在 Weave 网 络 上 运行 容器 


一 一 本 范例 由 Fintan Ryan 提供 





























3.11.1 问题 


你 想 要 为 你 在 跨越 多 个 数据 中 心 的 、 规 模 从 单 台 到 数 千 台 的 主机 上 运行 的 容器 创建 一 个 网 
络 。 该 网 络 具 备 自动 卫 地 址 分 配 功能 ， 并 且 集 成 基于 DNS 的 服务 发 现 。 


3.11.2 ”解决 方案 


使 用 来 自 Weaveworks (http://weave.works) 团队 的 Weave (http://github.com/weaveworks/ 
weave ) 。 


为 了 帮助 你 更 好 地 体验 Weave 网 络 ， 我 创建 了 一 个 Vagrantfile， 它 可 以 启动 两 台 运行 着 
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Ubuntu 14.04 的 主机 ， 并 在 其 中 安装 Docker、Weave 和 另外 两 个 示例 容器 。 你 可 以 像 下 面 
这 样 测试 一 下 。 
$ git clone https://github.com/how2dock/docbook.git 


$ cd ch03/weavesimple 
$ vagrant up 


下 面 是 我 们 在 这 个 例子 中 使 用 到 的 Vagrant 主机 。 


e。 172.17.8.101 weave-gs-01 
e。 172.17.8.102 weave-gs-02 


接着 你 需要 在 两 台 主机 上 启动 Weave 网 络 。 需 要 注意 的 是 ， 在 第 二 台 计 算 机 上 启动 Weave 
网 络 时 ， 你 需要 指定 第 一 台 主 机 的 了 P 地址 。 

$ vagrant ssh weave-gs-01 

$ weave launch 


$ vagrant ssh weave-gs-02 
$ weave launch 172.17.8.101 


这 时 ， 你 就 创建 了 一 个 Weave 网 络 ， 它 会 自动 为 新 创建 的 容器 分 配 IP 地址 ， 并 集成 基于 
DNS 的 服务 发 现 。 

新 创建 的 容器 会 在 Weave 网 络 中 运行 ， 自 动 分 配 一 个 唯一 的 全 地址， 并 且 通 过 Docker 的 
-h 选项 将 容器 注册 到 DNS。 


接 下 来 ， 你 将 在 每 台 主 机 上 启动 容器 。 为 了 够 轻松 地 使 用 Weave 网 络 启动 容器 ， 你 需要 使 
用 weave env 命令 来 设置 DOCKER_H0ST 环境 变量 ， 如 下 所 示 。 


























下 











$ vagrant ssh weave-gs-01 

$ eval $(weave env) 

$ docker run -d -h lb.weave.local fintanr/myip-scratch 

$ docker run -d -h hello.weave.local fintanr/weave-gs-simple-hw 


vagrant ssh weave-gs-02 

eval $(weave env) 

docker run -d -h lb.weave.local fintanr/myip-scratch 

docker run -d -h hello-host2.weave.local fintanr/weave-gs-simple-hw 


上 面 的 命令 完成 了 两 项 工作 。 首 先 ， 在 Docker 主机 上 创建 了 一 个 简单 的 Hello World 应 用 
的 容器 。 接 着 ， 通 过 DNS 创建 了 一 个 容器 的 负载 平衡 服务 ， 并 将 其 命名 为 1b。 


让 我 们 在 该 Weave 网 络 中 启动 一 个 容器 ， 并 访问 之 前 启动 的 另 一 个 容器 ， 如 下 所 示 。 


$ vagrant ssh weave-gs-01 

$ eval $(weave env) 

$ C=$(docker run -d -ti fintanr/weave-gs-ubuntu-curl) 
$ docker attach SC 

root@ad6b7cOb1ic6e: /# 

root@ad6b7cOb1ic6e:/# curl 1b 

Welcome to Weave, you probably want /myip 
root@ad6b7cOb1ic6e:/# curl lb/myip 

10.128.0.2 

root@ad6b7cOb1ic6e:/# curl lb/myip 


























10.160.0.1 
root@ad6b7cOb1ic6e:/# curl hello 
{ 


"message" : "Hello World", 
"date” : "2015-07-09 15:59:50" 
站 


你 也 可 以 使 用 下 面 的 脚本 文件 ， 来 启动 用 于 进行 测试 的 容器 。 


$ ./launch-simple-demo.sh 





3.11.3 讨论 

使 用 Weave 网 络 ， 你 可 以 快速 、 轻 松 地 在 具有 自动 全 地址 分 配 和 服务 发 现 功能 的 可 扩展 
网 络 上 启动 容器 。 

在 这 个 例子 中 ， 你 在 第 一 台 主 机 weave-gs-91 上 创建 了 一 个 Weave 路 由 容器 。 在 第 二 台 主 
机 weave-gs-62 上 ， 你 通过 指定 第 一 台 主 机 的 卫 地 址 启动 了 另 一 个 Weave 路 由 容器 。 这 条 
命令 告诉 位 于 weave-gs-02 主机 上 的 Weave 要 与 位 于 weave-gs-01 上 的 Weave 一 起 工作 。 
在 这 之 后 ， 使 用 Weave 启动 的 所 有 容器 对 于 该 Weave 网 络 内 的 其 他 容器 都 是 可 见 的 ， 不 
管 这 个 容器 位 于 哪 台 主机 上 。 每 个 容器 都 会 自动 分 配 一 个 同一 网 络 内 唯一 的 卫 地 址 ， 如 果 
通过 -h 来 启动 容器 ， 该 容器 还 会 自动 注册 到 Weave 的 DNS 服务 中 。 

为 了 确认 已 启动 的 容器 ， 也 可 以 使 用 Weave Scope (参见 范例 9.12)。 在 每 台 计 算 机 上 执行 
下 面 的 命令 。 


$ scope launch 



























































3.11.4 ”参考 


。 Weave 入 门 指南 (http://weave.works/guides) 


3.12 ”在 AWS 上 运行 Weave 网 络 


一 一 本 范例 由 Fintan Ryan 提供 


3.12.1 问题 
你 希望 在 部 署 到 AWS 的 主机 实例 中 使 用 Weave 网 络 和 Weave DNS。 


3.12.2 解决 方案 
作为 先决 条 件 ， 你 需要 具备 以 下 项 目 。 


。 一 个 AWS 账号 
。 一 组 访问 和 安全 API 密 钥 
。 安装 了 Ansible 和 boto 软件 
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为 了 方便 在 AWS 上 体验 Weave， 我 已 经 创建 了 一 个 可 以 在 EC2 上 局 动 两 台 Ubuntu 14.04 
主机 的 Ansible playbook， 该 playbook 还 会 安装 Docker 和 Weave。 我 还 提供 了 第 二 个 
playbook， 它 会 启动 一 个 简单 的 应 用 程序 ， 并 采用 HAProxy 作为 负载 平衡 服务 ， 放 置 到 这 





台 主 机 之 前 ， 如 下 所 示 。 


$ git cLone https://github.com/how2dock/docbook.git 


$ cd ch03/weaveaws 


$ ansible-playbook setup-weave-ubunu-aws.ymL 


你 可 以 通过 编辑 ansible_aws_variables.ym 文件 来 修改 AWS 区 域 和 AMI。 





通过 下 面 的 命令 来 启动 容器 。 











$ ansible-playbook launch-weave-haproxy-aws-demo.yml 


我 提供 了 一 个 脚本 ， 它 会 连接 到 HAProxy 容器 ， 并 快速 对 服务 进行 循环 访问 。 每 个 容器 都 
会 返回 一 个 JSON 结果 ， 并 将 它 的 主机 名 作为 其 JSON 输出 的 一 部 分 ， 如 下 所 示 。 





$ ./access-aws-hosts.sh 





Connecting to HAProxy with Weave on ANS demo 


{ 
"message" : "Hello Weave - HAProxy Example", 
"hostname" : ws1.weave.local", 
"date"” : "2015-03-13 11:23:12" 

} 

{ 
"message" : "Hello Weave - HAProxy Example", 
"hostname" : ws4.weave.local", 
"date"” : "2015-03-13 11:23:12" 

} 

{ 
"message" : "Hello Weave - HAProxy Example", 
"hostname" : ws5.weave.local", 
"date"” : "2015-03-13 11:23:12" 


3.12.3 ”讨论 





在 使 用 Weave 网 络 时 ， 你 在 应 用 前 下 








i 放置 了 一 个 HAProxy 作为 负载 平衡 服务 ， 负 载 平衡 








服务 后 面 则 是 一 些 分 布 在 多 台 主 机 上 的 运行 着 简单 应 用 程序 的 容器 。 














3.12.4 参考 


。 Weave 人 门 指南 (http://weave.works/guides) 


3.13 ”在 Docker 主 机 上 部 署 flannel 和 覆盖 网 络 


一 一 本 范例 由 Eugene Yakubovich 提供 


3.13.1 问题 
你 希望 位 于 不 同 主机 上 的 容器 能 不 通过 端口 映射 而 直接 通信 。 


3.13.2 ”解决 方案 


使 用 flannel 为 容器 创建 一 个 覆盖 网 络 。 每 个 容器 都 会 分 配 一 个 能 直接 从 其 他 主机 访问 到 
的 IP 地 址 。 让 我 们 从 下 面 两 个 由 Vagrantfile 启动 的 虚拟 机 开始 。 
$ git clone https://github.com/how2dock/docbook.git 


$ cd ch03/flannel 
$ vagrant up 








这 个 Vagrantfile 定义 了 两 个 安装 了 Docker、etcd 和 flannel 的 虚拟 机 。master 节点 上 将 会 
运行 一 个 键 值 存储 (etcd)，flannel 依赖 etcd 进行 协作 。 


然后 ， 通 过 vagrant ssh master 进入 虚拟 机 启动 etcd， 并 让 其 在 后 台 运 行 。 


$ cd /opt/coreos/etcd-v2.0.13-linux-amd64 
$ nohup ./etcd --listen-client-urls=http://0.0.0.0:2379 \ 
--advertise-client-urls=http://192.168.33.10:2379 & 


在 启动 flannel 守护 进程 之 前 ， 需 要 先 将 覆盖 网 络 的 配置 信息 写 和 人 etcd。 请 确保 所 选择 的 
子 网 区 间 和 已 存在 的 卫 地 址 不 存在 冲突 ， 如 下 所 示 。 


$ ./etcdctl set /coreos.com/network/config '{ "Network": "10.100.0.0/16" }' 
现在 ， 启 动 flannel 守护 进程 。 注 意 ，- -iface 选项 指定 的 是 Vagrantfile 文件 里 设置 的 私 
有 网 络 IP 地 址 。flannel 将 会 在 这 个 网 络 接口 上 转发 封装 好 的 数据 包 ， 如 下 所 示 。 


$ cd /opt/coreos/flannel-0.5.1 
$ sudo ./flanneld --iface=192.168.33.10 --ip-masq & 
$ sudo ./mk-docker-opts.sh -c -d /etc/default/docker 


flannel 将 会 租用 一 个 /24 子 网 并 分 配给 docker9 桥接 设备 。 这 个 申请 到 的 子 网 会 被 写 入 
/run/flannel/subnet.env 文件 中 。 实 用 工具 mk-docker-opts.sh 则 用 来 将 这 个 文件 转换 为 供 
Docker 守护 进程 使 用 的 一 组 命令 行 选项 。 

最 后 ， 局 动 Docker 守护 进程 。 你 可 以 通过 检查 dockerge 桥接 设备 的 IP 地 址 来 确认 一 切 是 
否 工作 正常 。 它 的 地 址 应 该 在 16.106.6.6/16 子 网 范围 内 ， 如 下 所 示 。 


$ sudo service docker start 
$ ifconfig docker0 
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docker0 Link encap:Ethernet HWaddr 56:84:7a:fe:97:99 
inet addr:10.100.63.1 Bcast:0.0.0.0 Mask:255.255.255.0 


在 worker 节点 上 重复 同样 的 步骤 ， 启 动 flannel 服务 。 由 于 etcd 已 经 在 master 节点 上 局 
动 了 ， 所 以 在 worker 市 点 上 不 需要 再 启动 了 。 相 反 ， 需 要 告诉 flannel 使 用 master 节点 上 
的 etcd 实例 地 址 ， 如 下 所 示 。 
$ cd /opt/coreos/flannel-0.5.1 
$ sudo ./flanneld --etcd-endpoints=http://192.168.33.10:2379 \ 
--iface=192.168.33.11 --ip-masq & 


$ sudo ./mk-docker-opts.sh -c -d /etc/default/docker 
$ sudo service docker start 


在 两 个 虚拟 机 节点 上 都 启动 了 flannel 网 络 ， 分 别 在 每 个 节点 上 运行 一 个 简单 的 busybox 
容器 。 这 两 个 容器 都 会 具有 一 个 可 以 从 远程 容器 ping 通 的 卫 地 址 。 























3.13.3 讨论 

所 有 的 flannel 成 员 都 通过 etcd 进行 协调 。 在 启动 时 ，flannel 守护 进程 会 从 etcd 读 取 和 改 
盖 网 络 的 配置 信息 ， 以 及 在 其 他 节点 中 正在 被 使 用 的 所 有 子 网 信息 。 然 后 ， 它 会 挑选 一 个 
子 网 (默认 情况 下 为 /24)， 并 通过 尝试 在 etcd 中 创建 一 个 密 钥 来 申请 子 网 。 如 果 这 个 密 
钥 创 建成 功 ， 就 会 获得 该 选 定子 网 24 小 时 的 租约 。 其 关联 值 则 包含 了 该 主机 的 卫 地 址 。 
接 下 来 ，fLanneL 会 使 用 TUN 设备 创建 flannel0 网 络 接口 。 从 docker9 网 桥 路 由 到 
fLannetg 的 卫 分 段 将 会 被 发 送 给 flannel 守护 进程 。 它 将 卫 分 段 封装 在 UDP 数据 包 中 ， 
并 根据 etcd 中 保存 的 子 网 信息 将 UDP 包 转 发 给 正确 的 主机 。 接 收 到 该 UDP 数据 包 的 
Docker 主机 则 从 UDP 包 中 对 封装 的 卫 数据 进行 解 包 ， 并 通过 TUN 设备 发 送 到 docker0。 


flannel 持续 监听 etcd 中 flannel 成 员 的 变化 ， 以 保持 其 最 新 的 状态 。 此 外 ， 守 护 进程 会 
在 租 期 到 期 前 一 小 时 进行 续 租 操 作 。 


3.14 在 多 台 Docker 主 机 中 使 用 Docker Network 











3.14.1 问题 


尽管 可 以 手动 创建 多 主机 之 间 的 隧道 网 络 (参见 范例 3.10)， 但 是 你 想 充 分 利用 新 的 
Docker Network 功能 并 使 用 VXLAN 禾 盖 网 络 。 


3.14.2 ”解决 方案 








Docker Network 是 一 个 新 的 功能 ， 目 前 在 Docker 实验 版 上 可 用 。 本 范例 只 
是 让 你 提前 体验 一 下 该 功能 ， 将 来 的 Docker 发 布 版 中 将 会 正式 包括 该 功能 。 























在 本 书 编写 之 际 ，Docker Network 依赖 Consul 作为 键 值 存储 ， 使 用 Serf 作 
为 节点 发 现 ， 使 用 标准 的 Linux 网 桥 来 构建 VXLAN 覆盖 网 络 。 由 于 Docker 
Network 功能 正在 紧张 开发 之 中 ， 这 些 需 求 和 方法 可 能 会 在 不 久 的 将 来 发 生 
变化 。 



































作为 本 书 的 惯例 ， 我 也 准备 了 一 个 Vagrantfile， 这 个 Vagrantfile 会 启动 三 台 虚 拟 机 。 一 
虚拟 机 作为 Consul 服务 器 ， 其 余 两 台 则 作为 Docker 主机 。 


实验 版 的 Docker 程序 安装 在 两 台 Docker 主机 上 ， 而 运行 着 Consul 的 虚拟 机 上 则 安装 了 最 
新 的 稳定 版 Docker。 


具体 配置 如 下 所 示 。 


。 consul-server，Consul 服务 节点 ， 运 行 在 Ubuntu 14.04 上 ，IP 地 址 为 192.168.33.10。 
。 net-1， 第 一 台 Docker 主机 ， 运 行 在 Ubuntu 14.10 上 ，IP 地 址 为 192.168.33.11。 
。 hetr2， 第 二 台 Docker 主机 ， 运 行 在 Ubuntu 14.10 上 ，IP 地 址 为 192.168.33.12。 


图 3-3 显示 了 这 一 服务 器 的 组 成 情况 。 






































Docker 守 护 进程 : Docker 守 护 进程 ， 


--bip=172.17.0.1/17 --bip=172.17.0.1/17 
--fixed-cidr=172.17.0.0/17 --fixed-cidr=172.17.0.0/17 






F398 1 容器 器 :eth0: 


1 容 姻 :eth0: | | 
172.17.0.2 1 172171282 1 


一 一 一 一 一 一 一 mu | | 一 一 一 一 一 一 一 一 








网 络 命名 空间 : 覆盖 : 多 主 ; 








PAY 器 


1 1Consul 容 





eth1:192.168.33.11eth0:10.0.2.15 eth0: 10.0.2.15Ww eth1: 192.168.33.12 





eth1:192.168.33.10 


私有 网 络 











图 3-3: 两 台 Docker 主机 组 成 的 VXLAN 覆盖 网 络 和 外 加 的 Consul 节点 的 网 络 拓扑 图 


克隆 这 个 代码 仓库 ， 进 入 到 docbook/ch03/networks 目录 ， 然 后 将 工作 交 给 Vagrant。 


$ git clone https://github.com/how2dock/docbook/ 
$ cd docbook/ch03/network 

$ vagrant up 

$ vagrant status 

Current machine states: 





consul-server running (virtualbox) 
net-1 running (virtualbox) 
net-2 running (virtualbox) 
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你 现在 就 可 以 ssh 到 Docker 主机 并 局 动 
Docker 程 
示 的 略 有 不 同 。 
$ vagrant ssh net-1 
vagrant@net-1:~$ docker version 


Client version: 1.9.0-dev 
...<SNip>... 





JP D9 


合 栈 。 


训 。 实 际 上 ， 根 据 所 使 用 的 Docker 发 布 版 本 ， 你 看 到 的 版 本 号 可 能 会 与 下 


你 会 发 现 将 要 运行 的 是 带 -dev 的 实验 版 的 


下 所 














通过 列 出 可 用 的 网 络 ， 可 以 验证 Docker Network 是 否 能 正常 工作 ， 如 下 所 示 。 


vagrant@net-1:~$ docker network ls 


NETWORK ID NAME 
4275f8b3a821 none 
80eba28ed4a7 host 
64322973b4aa bridge 


由 于 现在 还 没有 发 布 任何 服务 ， 所 以 docker service ls 将 会 返 


$ docker service ls 
SERVICE ID 


启动 一 个 


$ docker run -it --rm Ubuntu:14.04 


NAME 


Pr DR 


容器 六 





bash 


root@df479e660658:/# cat /etc/hosts 


172"215033 df479e660658 
127.0.0.1 LocaLhost 
“1 


feQ0:: 


TYPE 
null 
host 
bridge 





回 一 个 空 列表 ， 如 下 所 示 。 


NETWORK CONTAINER 


检查 容器 中 的 /etc/hosts 文件 ， 如 下 所 示 。 


localhost ip6-LocaLhost ip6-loopback 


0 ip6-localnet 
ff00::0 ip6-mcastprefix 
ff02::1 ip6-allnodes 
ff02::2 ip6-allrouters 
172.21.0.3 distracted_bohr 
1{2.21;0:3 distracted_bohr .multihost 


在 主机 net-1 上 打开 一 个 终端 ， 再 次 查看 一 下 Docker 网 络 列表 。 你 将 会 看 到 一 个 名 为 


multihost 的 覆盖 网 络 。 


覆盖 网 络 multihost 是 默认 的 网 络 。Vagrant 在 初始 化 时 对 Docker 守护 进程 


进行 了 相应 





的 设置 。 可 通过 查看 /etc/default/docker 文件 的 内 容 确认 一 下 对 Docker 守护 进程 所 做 的 


设置 。 
vagrant@net-1:~$ docker _ network ls 
NETWORK ID NAME 
4275f8b3a821 none 
80eba28ed4a7 host 
64322973b4aa bridge 
b5c9f05f1f8f multihost 


TYPE 
null 
host 
bridge 
overlay 


现在 ， 在 另 一 个 终端 窗口 中 通过 ssh 连接 到 主机 net-2， 检 查 一 下 它 的 网 络 和 服务 状 
态 。 你 会 看 到 Docker 网 络 和 net-1 是 一 样 的 ， 默认 的 网 络 也 是 multihost， 网 络 类 型 也 是 


overlay。 但 是 ， 在 服务 





会 显示 在 主机 net-1 中 启动 的 容器 如 下 所 示 。 





$ vagrant ssh net-2 

vagrant@net-2:~$ docker service ls 

SERVICE ID NAME NETWORK CONTAINER 
boof2bfd81ac distracted_bohr multihost df479e660658 


在 主机 net-2 上 启动 一 个 容器 并 查看 /etc/hosts 文件 内 容 ， 如 下 所 示 。 


vagrant@net-2:~$ docker run -ti --rm ubuntu:14.04 bash 
root@2ac726b4ce60:/# cat /etc/hosts 

172.21.0.4 2ac726b4ce60 

127.0.0.1 localhost 

2 LocaLhost ip6-localhost tp6-Loopback 

fe00 1: : 





0 ip6-localnet 
ff00::0 ip6-mcastprefix 
ff02::1 ip6-allnodes 
ff02::2 ip6-allrouters 
172;2L,0%3 distracted_bohr 
172.21;:0.3 distracted_bohr .multihost 
172.21.0.4 modest_curie 
172.21.0.4 modest_curie.multihost 























从 上 面 的 结果 可 以 看 到 ， 除 了 刚才 在 主机 net-2 上 启动 的 容器 之 外 ， 还 能 看 到 在 主机 net-1 
上 启动 的 容器 。 
当然 ， 各 个 容器 之 间 也 可 以 互相 ping 通 。 














3.14.3 ”讨论 

这 种 解决 方案 通过 修改 配置 文件 /etc/default/docker， 在 启动 时 让 Docker 使 用 默认 的 覆盖 
网 络 。 但 是 ， 你 也 可 以 使 用 非 默 认 的 覆盖 网 络 。 也 就 是 说 ， 你 可 以 创建 任意 数量 的 覆盖 网 
络 ， 并 且 在 不 同 网 络 中 创建 的 容器 是 互相 隔离 的 。 

在 前 面 的 测试 中 ， 你 在 启动 容器 时 使 用 了 普通 的 -tt - -rm 参数 。 这 样 启动 的 容器 将 会 被 自 
动 放置 到 默认 的 Docker 网 络 中 ， 默 认 的 网 络 被 设置 为 muLtihost， 类 型 为 overlay 网 络 。 
但 是 你 也 可 以 创建 自己 的 覆盖 网 络 ， 并 且 在 这 个 网 络 中 创建 新 容器 。 让 我 们 来 看 一 下 如 
操作 。 首 先 ， 通 过 docker network create 命令 创建 一 个 新 的 覆盖 网 络 。 


在 net-l1 和 net-2 两 台 主机 的 其 中 一 台 上 ， 执 行 下 面 的 命令 。 


$ docker network create -d overlay foobar 
8805e22ad6e29cd7abb95597c91420fdcac54f33fcdd6fbca6dd4ec9710dd6a4 
$ docker network ls 

















FE 























NETWORK ID NAME TYPE 
a77e16a1e394 host host 
684a4bb4c471 bridge bridge 
8805e22ad6e2 foobar overlay 
b5c9f05f1f8f multihost overlay 
67d5a33a2e54 none null 


在 第 二 台 主 机 上 也 能 自动 看 到 这 个 新 创建 的 网 络 。 为 了 在 新 创建 的 网 络 中 启动 容器 ， 你 需 
要 在 执行 docker run 命令 时 使 用 --publish-service 选项 ， 如 下 所 示 。 


$ docker run -it --rm --publish-service=bar.foobar.overlay Ubuntu:14.04 bash 
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可 以 在 局 动容 器 时 直接 使 用 --publish-service 选项 指定 一 个 新 的 履 盖 网 
络 ， 这 个 新 的 覆盖 网 络 会 自动 创建 。 





现在 再 来 查看 一 下 Docker 服务 ， 如 下 所 示 。 


$ docker service ls 
SERVICE ID NAME NETWORK CONTAINER 
b1ffdbfb1ac6 bar foobar 6635a3822135 


也 可 以 在 另 一 台 Docker 主机 中 重复 上 面 这 些 步 又， 在 新 的 覆盖 网 络 中 启动 另 一 个 容器 ， 
然后 检查 /etc/hosts 文件 ， 并 尝试 在 两 个 容器 中 互相 ping 对 方 。 


3.15 深入 Docker Network 命 名 空间 配置 


3.15.1 问题 


你 希望 更 深入 地 理解 Docker Network (参见 范例 3.14) 是 如 何 工 作 的， 尤其 是 VXLAN 网 
络 接 口 都 可 以 在 哪些 场景 下 使 用 。 


3.15.2 ”解决 方案 

新 的 Docker Network 中 和 覆盖 网 络 利 用 了 VXLAN 隧道 和 网 络 命名 空间 技术 。 在 范例 3.7 
中 ， 你 已 经 学 习 了 如 何 查 看 和 管理 网 络 命名 空间 。 在 Docker Network 中 ， 你 也 可 以 进行 同 
样 的 操作 。 





























本 范例 涉及 的 是 比较 高 级 的 话题 ， 你 可 以 更 深入 地 理解 Docker 如 何 利用 网 
络 命名 空间 来 构建 一 个 VXLAN 覆盖 网 络 。 如 果 你 只 是 使 用 默认 的 单 主机 
Docker 网 络 或 者 多 主机 Docker Network， 或 者 其 他 在 范例 3.11 和 范例 3.13 
中 介绍 的 多 主机 网 络 解决 方案 ， 那 么 本 范例 并 不 是 必须 要 掌握 的 。 























你 可 以 在 Docker Network 设计 文档 (https://github.com/docker/libnetwork/blob/master/docs/ 
design.md) 中 获得 更 详细 的 说 明 。 但 是 为 了 更 好 地 解释 这 些 概念 ， 没 有 什么 比 一 个 实际 的 
例子 效果 更 好 了 。 





3.15.3 讨论 
对 于 一 个 在 覆盖 网 络 中 运行 的 容器 ， 可 以 像 下 面 这 样 查看 它 的 网 络 命名 空间 。 


$ docker inspect -f '{{ .NetworkSettings.SandboxKey}}' 6635a3822135 
/var/run/docker/netns/6635a3822135 


这 并 不 是 网 络 命 名 空间 的 默认 存储 位 置 ， 这 看 起 来 可 能 有 一 些 迷 惑 性 。 因 此 ， 让 我 们 先 切 
换 为 root 用 户 ， 进 入 这 个 容器 网 络 命名 空间 所 在 的 目录 ， 查 看 里 面 的 网 络 接 口 ， 如 下 所 示 。 
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$ sudo su 

root@net-2:/home/vagrant# cd /var/run/docker/ 
root@net-2:/var/run/docker# ls netns 
6635a3822135 

8805e22ad6e2 


要 想 使 用 ;ip 命令 来 查看 这 个 网 络 命名 空间 中 的 网 络 设备 接口 ， 我 们 先 创建 一 个 指向 /var/ 
run/docker/netns 的 文件 链接 netns， 如 下 所 示 。 














root@net-2:/var/run# ln -s /var/run/docker/netns netns 
root@net-2:/var/run# ip netns show 

6635a3822135 

8805e22ad6e2 


看 的 命令 会 返回 两 个 网 络 命名 空间 的 JP， 其 中 一 个 是 正在 运行 中 的 该 Docker 主机 上 的 





局 


， 男 一 个 则 是 这 个 容器 所 在 的 覆盖 网 络 的 ID。 


root@net-2:/var/run/docker# ip netns exec 6635a3822135 ip addr show eth0 
15: eth0: <BROADCAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
Link/ether 02:42:b3:91:22:c3 brd ff:ff:ff:ff:ff:ff 
inet 172.21.0.5/16 scope global eth0 
valid_lft forever preferred_Lft forever 
inet6 fe80::42:b3ff:fe91:22c3/64 scope Link 
valid_lft forever preferred_Lft forever 











回 到 运行 中 的 容器 ， 查 看 一 下 它 的 网 络 接口 设备 ， 你 会 发 现 它们 的 MAC 地 址 和 了 IP 地 址 是 
相同 的 。 如 果 查 看 一 下 履 盖 网 络 命名 空间 中 的 链 路 信息 ， 你 会 看 到 一 个 VXLAN 设备 接口 
以 及 它 所 使 用 的 VLAN ID， 如 下 所 示 。 











root@net-2:/var/run/docker# ip netns exec 8805e22ad6e2 ip -d Link show 
sshtp>r 
14: vxlani: <BROADCAST,UP,LONER_UP> mtu 1500 qdisc noqueue master br0 state \ 
UNKNOWN mode DEFAULT group default 

link/ether 7a:af:20:ee:e3:81 brd ff:ff:ff:ff:ff:ff promiscuity 1 

vxlan id 256 srcport 32768 61000 dstport 8472 proxy l2miss l3miss ageing 300 

bridge_slave 
16: veth2: <BROADCAST,UP,LOWER_UP> mtu 1500 qdisc pfifo fast master br0 state \ 
UP mode DEFAULT group default qlen 1000 

link/ether 46:bi:e2:5c:48:a8 brd ff:ff:ff:ff:ff:ff promiscuity 1 

veth 

bridge_slave 


如 果 抓 取 一 下 这 些 网 络 接口 上 的 数据 包 ， 你 将 会 看 到 容器 之 间 的 通信 数据 。 
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第 4 章 


开发 和 配置 Docker 





4.0 简介 


如 果 你 已 经 阅读 了 本 书 前 面 的 全 部 章节 ， 那 么 应 该 已 经 学 习 了 有 关 Docker 用 法 的 所 有 基 
本 知识 。 你 已 经 可 以 安装 Docker 引擎 ， 创 建 和 管理 容器 ， 构 建 和 共享 镜像 ， 并 且 已 经 很 
好 地 理解 了 容器 的 网 络 模型 ， 包 括 跨 主机 的 容器 网 络 。 本 章 将 会 学 习 一 些 更 高 级 的 Docker 
主题 : 首先 是 面向 开发 人 员 的 内 容 ， 其 次 是 介绍 如 何 对 Docker 进行 配置 。 


在 范例 4.1 中 ， 我 们 会 看 一 下 如 何 对 Docker 引擎 进行 配置 ， 然 后 在 范例 4.2 中 会 向 你 介绍 
如 何 从 源 代码 编译 Docker。 范 例 4.3 将 会 介绍 如 何 运行 所 有 的 测试 来 验证 你 的 构建 ， 范 例 
4.4 则 会 介绍 如 何 使 用 最 新 构建 出 来 的 Docker 可 执行 文件 代替 官方 发 布 的 Docker 引擎 。 


开发 人 员 可 能 还 想 看 一 下 nsenter 工具 ， 范 例 4.5 会 对 这 一 工具 进行 介绍 。 尽 管 仅 使 用 
Docker 并 不 要 求 你 掌握 这 一 工具 ， 但 是 这 个 工具 可 以 帮助 你 更 好 地 理解 Docker 是 如 何 利 
用 Linux 命名 空间 来 创建 容器 的 。 通 过 范例 4.6 可 以 更 深入 地 了 解 用 于 管理 容器 的 底层 系 
统 库 。 最 初 被 称 为 libcontainer 的 runc 项目， 已 经 作为 参考 实现 贡献 给 了 开放 容器 项 目 
(Open Container Initiative) ， 以 帮助 推动 容器 运行 时 和 镜像 格式 的 标准 化 。 

为 了 更 深入 地 对 容器 进行 配置 以 及 控制 如 何 访 问 容器 引 敬 ， 范 例 4.7 中 将 会 介绍 如 何 远 程 
访问 Docker 守护 进程 。 范 例 4.8 中 将 会 介绍 Docker 提供 的 API，Docker 客户 端 通过 这 个 
API 来 管理 容器 。 范 例 4.9 中 将 会 介绍 如 何 从 远程 安全 地 访问 Docker API， 讲 解 如 何 对 基 
于 TLS 通信 方式 访问 Docker 引擎 进行 设置 。 范 例 4.12 是 关于 Docker 配置 内 容 的 最 后 一 
个 主题 。 该 范例 将 会 介绍 如 何 更 改 底层 存储 驱动 程序 ， 这 是 一 个 可 以 支持 Docker 镜像 的 
联合 文件 系统 。 

如 果 你 是 一 个 Docker 用 户 ， 那 么 范例 4.10 和 范例 4.11 应 该 会 让 你 受益 匪 浅 。 这 两 个 范例 
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主要 介绍 了 dockerpy， 这 是 一 个 用 于 与 Docker API 进行 通信 的 Python 模块 。 在 Docker 


中 ， 





这 并 不 是 你 可 以 使 用 的 唯一 客户 端 ， 但 它 是 学 习 Docker API 的 简单 的 入 门 途径 。 





4.1 管理 和 配置 Docker 守 护 进 程 


4 
你 到 


的 配置 ， 比 如 Docker 可 执行 程序 的 位 置 ， 或 者 使 用 一 个 不 同 的 网 桥 设备 。 


4. 


.1.1 问题 


根 启 动 、 停 止 和 重新 启动 Docker 守护 进程 。 此 外 ， 你 还 想 对 Docker 守护 进程 进行 不 同 























1.2 解决 方案 





使 用 docker 初始 化 脚本 来 管理 Docker 守护 进程 。 在 大 多 数 基 于 Ubuntu 或 Debian 的 
统 上 ， 这 个 脚本 位 于 目录 /etc/init.d/docker 下 。 像 很 多 其 他 初始 化 服务 一 样 ， 你 可 以 通 


Se 








rvice 命令 来 管理 Docker 服务 。Docker 守护 进程 以 root 用 户 身份 运行 ， 如 下 所 示 。 


# service docker status 

docker start/running, process 2851 
# service docker stop 

docker stop/waiting 

# service docker start 

docker start/running, process 3119 


配置 文件 位 于 目录 /etc/default/docker 下 。 在 Ubuntu 系统 上 ， 所 有 的 配置 变量 都 被 注释 掉 


了 。 








/etc/default/docker 文件 的 内 容 如 下 所 示 。 


# Docker Upstart and SysVinit configuration file 


# Customize location of Docker binary (especially for development testing). 
#DOCKER=" /usr/Llocal/bin/docker" 


# Use DOCKER_OPTS to modify the daemon startup options. 
#DOCKER_OPTS="--dns 8.8.8.8 --dns 8.8.4.4" 


# If you need Docker to use an HTTP proxy, it can also be specified here. 
#export http_proxy="http://127.0.0.1:3128/" 


# This is also a handy place to tweak where Docker's temporary files go. 
#export TMPDIR="/mnt/bigdrive/docker-tmp" 


例如 ， 如 果 你 想 配置 守护 进程 对 TCP 套 接 字 进 行 监 听 以 启用 远程 API 访问 ， 就 应 该 像 范 


例 4.7 中 介绍 的 那样 编辑 这 个 配置 文件 。 


4. 


在 








TT 





1.3 讨论 
基于 systemd 的 系统 (比如 Ubuntu 15.05 或 者 CentOS 7) 上 ， 你 需要 修改 Docker 的 








systemd 单元 文件 。 这 个 文件 可 能 位 于 0 er 文件 夹 中 ， 也 可 
能 是 /etc/systemd/system/docker.service 文件 。 要 想 了 解 关 于 如 何在 systemd 下 对 Docker 守 
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护 进程 进行 配置 的 详细 信息 ， 可 以 参考 Docker 官方 文档 中 的 文章 (https://docs.docker.com/ 
articles/systemd/) 。 

最 后 ， 尽 管 可 以 通过 Linux 守护 进程 的 方式 来 运行 Docker， 但 你 仍 可 以 通过 docker -d 命 
ee Docker 守护 进程 ， 或 者 在 Docker 1.8 之 后 ， 你 也 可 以 使 用 docker 
daemon 命令 。 这 种 情况 下 可 以 直接 在 Docker 命令 后 面 添 加 命令 行 参数 。 查 看 Docker 命令 
的 帮助 信息 ， 可 以 确认 一 下 有 哪些 选项 可 以 使 用 ， 如 下 所 示 。 


$ docker daemon --help 




















Usage: docker daemon [OPTIONS] 


Enable daemon mode 


--api-cors-header= Set CORS headers in the remote API 
-b，--bridge= Attach containers to a network bridge 
- -bip= Specify network bridge IP 
-D,--debug=false Enable debug mode 

--default-gateway= Container default gateway IPv4 address 


4.2 ”从 源 代码 编译 自己 的 Docker 二 进 制 文件 


4.2.1 问题 
你 想 开 发 Docker 软件 并 构建 自己 的 Docker 二 进 制 文件 。 


4.2.2 ”解决 方案 


使 用 Git 从 GitHub 克隆 Docker 的 代码 仓库 (https://github.com/docker/docker)， 然 后 通过 
Makefile 创建 自己 的 二 进 制 文件 。 


Docker 程序 是 在 一 个 Docker 容器 中 构建 的 。 在 一 台 Docker 主机 中 ， 你 可 以 克隆 Docker 
的 源 代 码 仓 库 ， 然 后 使 用 Makefile 构建 一 个 新 的 二 进 制 文件 。 


这 个 新 的 Docker 二 进 制 文件 通过 运行 一 个 特权 模式 的 Docker 容器 获得 。 这 个 Makefile 文 
件 包含 几 个 构建 目标 ， 其 中 包括 一 个 binary 目标 ， 如 下 所 示 。 


$ cat Makefile 



































default: binary 


all: build 
$(DOCKER_RUN_DOCKER) hack/make.sh 


binary: build 
$(DOCKER_RUN_DOCKER) hack/make.sh binary 





因此 ， 只 需要 简单 地 执行 sudo make binary 即 可 。 





Docker 项 目 根 目录 底下 的 hack 已 经 被 移动 到 了 project 文件 夹 中 。 所 以 实际 
上 ，make.sh 脚本 就 是 project/make.sh。 这 个 文件 会 使 用 位 于 project/make/ 文 
件 夹 下 的 脚本 来 完成 各 种 构建 任务 。 














$ sudo make binary 


docker run --rm -it --privileged \ 
-e BUILDFLAGS -e DOCKER_CLIENTONLY -e DOCKER_EXECDRIVER \ 
-e DOCKER_GRAPHDRIVER -e TESTDIRS -e TESTFLAGS \ 
-e TIMEOUT \ 
-V "/tmp/docker/bundles:/go/src/github.com/docker/docker/\ 
bundles" \ 
"docker:master" hack/make.sh binary 


---> Making bundle: binary (in bundles/1.9.0.-dev/binary) 
Created binary: \ 
/go/src/github.com/docker/docker/bundles/1.9.0-dev/binary/docker-1.9.0-dev 


可 以 看 到 ，Makefile 文件 中 的 binary 目标 将 会 从 镜像 docker:master 启动 一 个 特权 模式 
的 Docker 容器 ， 并 设置 一 系列 的 环境 变量 ， 从 本 地 挂 载 一 个 卷 ， 以 及 调用 hack/make.sh 
binary 命令 。 

在 目前 的 Docker 开发 状态 下 ， 新 构建 的 二 进 制 文件 将 会 保存 到 bundles/1.9.0-dewbinary/ 文 
件 夹 下 。 实 际 上 ， 根 据 Docker 发 布 的 版 本 不 同 ， 你 看 到 的 版 本 号 也 可 能 会 略 有 不 同 。 








4.2.3 讨论 


为 了 简化 这 一 过 程 ， 你 可 以 克隆 本 书 附带 的 代码 仓库 。 本 范例 提供 了 一 个 Vagrantfile， 它 
会 启动 一 个 Ubuntu 14.04 虚拟 机 ， 并 在 这 个 虚拟 机 中 安装 最 新 版 的 Docker， 然 后 克隆 
Docker 源 代 码 仓 库 ， 如 下 所 示 。 

$ git clone https://github.com/how2dock/docbook 


$ cd docbook/ch04/compile/ 
$ vagrant up 


当 这 个 虚拟 机 启动 之 后 ， 通 过 ssh 连接 到 虚拟 机 ， 然 后 进入 到 /tmp/docker 文件 夹 ， 这 个 文 
件 夹 是 Vagrant 初始 化 虚拟 机 时 创建 的 。 在 这 个 文件 夹 下 执行 make 命令 。 第 一 次 执行 这 个 
Makefile 文件 的 时 候 ， 安 装 在 宿主 机 上 的 稳定 版 的 Docker 会 拉 取 构建 Docker 过 程 所 需要 
的 基础 镜像 ubuntu:14.04， 然 后 通过 /tmp/docker/Dockerfile 文件 构建 镜像 docker:master。 第 
一 次 执行 该 操作 时 ， 可 能 会 花费 较 长 的 时 间 ， 如 下 所 示 。 


$ vagrant ssh 

$ cd /tmp/docker 

$ sudo make binary 

docker build -t "docker:master" . 

Sending build context to Docker daemon 55.95 MB 
Sending build context to Docker daemon 

Step 0 : FROM ubuntu:14.04 
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当 上 述 操 作 完 成 之 后 ， 你 将 会 得 到 一 个 新 的 Docker 二 进 制 文件 ， 如 下 所 示 。 
$ cd bundles/1.9.0-dev/binary/docker 


$ 1s 
docker docker-1.9.0-dev docker-1.9.0-dev.md5 docker-1.9.0-dev.sha256 


2 参考 


。 如 何在 GitHub 上 向 Docker 贡 献 代 码 (https://github.com/docker/docker/blob/master/ 
CONTRIBUTING.md) 


4.3 ”为 开发 Docker 运 行 Docker 测 试 集 


4.3.1 问题 

你 对 Docker 源 代码 进行 了 一 些 修改 并 且 构 建 了 一 个 新 的 二 进 制 文件 。 你 还 需要 确保 你 能 
够 通过 所 有 测试 。 

4.3.2 ”解决 方案 


使 用 Makefile 中 的 test 目标 来 运行 Docker 源 代码 提供 的 四 组 测试 。 或 者 ， 只 选择 那些 你 
关心 的 测试 ， 如 下 所 示 。 


$ cat Makefile 























test: build 
$(DOCKER_RUN_DOCKER) hack/make.sh binary cross \ 
test-unit test-integration \ 
test-integration-cli test-docker-py 
test-unit: build 
$(DOCKER_RUN_DOCKER) hack/make.sh test-unit 


test-integration: build 
$(DOCKER_RUN_DOCKER) hack/make.sh test-integration 


test-integration-cli: build 
$(DOCKER_RUN_DOCKER) hack/make.sh binary test-integration-cli 


test-docker-py: build 
$(DOCKER_RUN_DOCKER) hack/make.sh binary test-docker-py 


可 以 通过 查看 Makefile 文件 来 选择 你 需要 运行 的 测试 集 。 如 果 通 过 make test 命令 运行 所 
有 的 测试 集 ， 该 命令 也 会 同时 构建 Docker 二 进 制 文件 ， 如 下 所 示 。 


$ sudo make test 








--> Making bundle: test-docker-py (in bundles/1.9.0-dev/test-docker-py) 
+++ exec docker --daemon --debug --storage-driver vfs \ 
-exec-driver native \ 





--pidfile \ 
/go/src/github.com/docker/docker/bundles/1.9.0-dev/ \ 
test-docker-py/docker .pid 


Ran 56 tests in 75.366s 
OK 


根据 测试 覆盖 率 ， 如 果 所 有 的 测试 都 通过 ， 那 么 你 应 该 相信 新 的 二 进 制 能 正常 工作 。 

















4.3.3 ”参考 


。 Docker 官方 开发 环境 文档 (https://docs.docker.com/project/software-required/) 


4.4 ”使 用 新 的 Docker 二 进 制 文件 替换 当前 的 文件 


4.4.1 问题 


按照 范例 4.2 和 范例 4.3 中 的 介绍 ， 你 构建 了 一 个 新 的 Docker 二 进 制 文件 ， 并 通过 了 单元 
测试 和 集成 测试 。 现 在 你 想 在 你 的 宿主 机 上 使 用 这 个 新 的 二 进 制 文件 。 


4.4.2 解决 方案 
让 我 们 从 在 范例 4.2 中 创建 的 虚拟 机 开始 。 


首先 需要 停止 运行 中 的 Docker 守护 进程 。 在 Ubuntu 14.04 上 上， 编辑 /etc/default/docker 文 
件 ， 去 掉 DOCKER 变量 前 面 的 注释 ， 这 个 变量 定义 了 Docker 二 进 制 文件 的 位 置 。 将 这 个 变 
量 设置 为 D0CKER="/usr/LocaL/bin/docker"。 将 新 的 Docker 二 进 制 文件 复制 到 /usr/local/ 
bin/docker， 然 后 重新 启动 Docker 守护 进程 ， 如 下 所 示 。 


$ pwd 

/tmp/docker 

$ sudo service docker stop 

docker stop/waiting 

$ sudo vi /etc/default/docker 

$ sudo cp bundles/1.8.0-dev/binary/docker-8.0-dev /usr/local/bin/docker 
$ sudo cp bundles/1.8.0-dev/binary/docker-1.8.0-dev /usr/bin/docker 

$ sudo service docker restart 

stop: Unknown instance: 

$ docker version 
































Client: 

Version: 1.8.0-dev 

API version: 1.21 

Go version: go1.4.2 

Git commit: 3e596da 

Built: Tue Aug 11 16:51:56 UTC 2015 
0S/Arch : linux/amd64 

Server: 








开发 和 配置 Docker | 101 








Version: 1.8.0-dev 
API version: 1.21 


Go version: go1.4.2 

Git commit: 3e596da 

Built: Tue Aug 11 16:51:56 UTC 2015 
0S/Arch : Linux/amd64 








现在 你 使 用 的 就 是 主 开发 分 支 上 最 新 版 的 Docker ( 即 本 书 编写 时 主 分 支 的 Git 提交 号 
3e596da ) 。 





4.4.3 讨论 
在 Vagrant 虚拟 机 中 的 Docker 初始 化 脚本 通过 下 面 的 方式 安装 了 最 新 的 稳定 版 Docker， 如 
下 所 示 。 


sudo curl -SSL https://get.docker.com/ubuntu/ | sudo sh 


这 种 安装 方式 会 将 Docker 二 进 制 文件 保存 到 /usr/bin/docker。 这 可 能 会 与 你 新 构建 的 
Docker 二 进 制 文件 冲突 。 当 运行 docker version 命令 时 ， 如 果 你 发 现 两 个 二 进 制 文件 有 冲 
帘 ， 你 可 以 删除 这 个 文件 或 者 使 用 新 的 二 进 制 文件 替换 该 文件 。 


4.5 使 用 nsenter 



































4.5.1 问题 
你 希望 能 进入 到 容器 进行 调试 ， 你 运行 的 Docker 版 本 低 于 1.3.1， 或 者 你 不 想 使 用 docker 


exec 命令 。 


4.5.2 ”解决 方案 


使 用 nsenter (https://github.com/jpetazzo/nsenter)。 从 Docker 1.3 开始 ， 你 可 以 使 用 docker 
exec 轻松 进入 一 个 运行 中 的 容器 ， 所 以 已 经 没 必 要 在 容器 中 运行 SSH 服务 并 暴露 22 端 
口 ， 或 者 使 用 已 经 不 再 推荐 使 用 的 attach 命令 。 
nsenter 诞生 于 docker exec 之 前 ， 用 于 解决 如 何 进 入 容器 命名 空间 (因此 得 名 nsenter) 的 
问题 。 尽 管 如 此 ，nsenter 也 是 一 个 很 实用 的 工具 ， 本 书 中 我 们 也 为 其 准备 了 一 个 简短 的 
范例 。 
我 们 将 会 启动 一 个 容器 ， 这 个 容器 会 睡眠 一 段 时 间 。 考 虑 到 完整 性 ， 让 我 们 使 用 docker 
exec 命令 进入 这 个 运行 中 的 容器 ， 如 下 所 示 。 

$ docker pull ubuntu:14.04 

$ docker run -d --name sleep Ubuntu:14.04 sleep 300 


$ docker exec -ti sleep bash 
root@db9675525fab: /# 


nsenter 也 可 以 完成 同样 的 工作 。 而 且 很 方便 的 是 ， 你 可 以 在 Docker Hub 上 找到 nsenter 
的 镜像 。 下 载 这 个 镜像 ， 启 动 一 个 容器 ， 然 后 运行 nsenter。 





























$ docker pull jpetazzo/nsenter 
$ sudo docker run docker run --rm -v /usr/LocaL/bin:/target jpetazzo/nsenter 


现在 ， 了 解 一 下 nsenter 镜像 的 Dockerfile (https://github.com/jpetazzo/nsenter/blob/master/ 
Dockerfile) 及 其 CMD 参数 将 会 十 分 有 用 。 你 会 看 到 它 运 行 了 一 个 installer 脚本 。 这 个 简单 
的 脚本 除了 可 以 检测 是 否 存在 /target 挂 载 点 之 外 ， 没 有 其 他 任何 作用 。 如 果 这 个 挂 载 点 
存在 ， 该 脚本 就 会 将 脚本 文件 docker-enter 和 二 进 制 文件 nsenter 复制 到 这 个 挂 载 点 。 在 
docker run 命令 中 ， 由 于 你 指定 了 一 个 卷 -v_ /usr/local/bin:/target)， 因 此 运行 这 

个 容器 会 将 nsenter 文件 复制 到 你 的 本 地 主机 。 这 是 一 个 很 巧妙 的 技巧 ， 并 且 取 得 了 很 好 的 
效果 ， 如 下 所 示 。 

$ which docker-enter nsenter 


/usr/local/bin/docker-enter 
/usr/local/bin/nsenter 



































为 了 将 文件 复制 到 /usr/local/bin 下 面 ， 在 运行 容器 时 我 使 用 了 sudo。 如 果 不 
想 使 用 默认 的 挂 载 点， 你 可 以 使 用 类 似 下 面 的 命令 将 这 两 个 文件 复制 到 本 地 
主机 上 ， 如 下 所 示 。 


$ docker run --rm jpetazzo/nsenter cat /nsenter \ 
> /tmp/nsenter && chmod +x /tmp/nsenter 











在 你 就 可 以 进入 容器 内 部 了 。 如 果 不 想 使 用 容器 内 的 交互 式 shell， 你 也 可 以 指定 想 要 在 
器 中 运行 的 命令 ， 如 下 所 示 。 


$ docker-enter sleep 
root@db9675525fab: /# 

$ docker-enter sleep hostname 
db9675525fab 


docker-enter 是 对 nsenter 的 一 个 包装 。 你 可 以 在 通过 docker inspect 命令 找到 容器 的 进 
程 ID 之 后 ， 直 接 使 用 nsenter 命令 ， 如 下 所 示 。 


$ docker inspect --format {{.State.Pid}} sleep 

9302 

$ sudo nsenter --target 9302 --mount --uts --ipc --net --pid 
root@db9675525fab: /# 





只 尘 
代 


4.5.3 讨论 
从 Docker 1.3 开始 ， 我 们 可 以 使 用 docker exec 来 代替 nsenter， 如 下 所 示 。 


$ docker exec -h 
Usage: docker exec [OPTIONS] CONTAINER COMMAND [ARG...] 


Run a command in a running container 


-d4，--detach=faLse Detached mode: run command in the background 
- -heLp=faLse Print Usage 

-i, --interactive=false Keep STDIN open even if not attached 

-t, --tty=false ALLocate a pseudo-TTY 
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4.5.4 参考 


。 GitHub 上 Jerome Petazzoni 的 nsenter 代码 仓库 (https://github.com/jpetazzo/nsenter) 
Ac 
4.6 ”runc 简 介 


4.6.1 问题 
你 希望 熟悉 即将 发 布 的 关于 容器 格式 的 标准 ， 以 及 容器 运行 时 runc。 


4.6.2 ”解决 方案 


开放 容器 项 目 (Open Container Project，OCP) 设立 于 2015 年 6 月 ， 该 项 目的 规范 正在 制 
定 中 ， 目 前 还 没有 完成 。 


但 是 ，Docker 公司 捐赠 了 它们 的 libcontainer (https://github.com/docker/libcontainer) 代码 ， 
这 是 关于 容器 运行 时 标准 的 早期 实现 。 这 个 运行 时 被 称 为 runc。 








OCP 刚 成 立 不 入， 该 规范 还 没有 完成 。 在 其 参考 实现 被 认为 稳定 并 且 成 熟 之 
前 ， 该 规范 可 能 还 会 有 很 多 修改 。 























本 范例 将 会 为 你 带 来 关于 runc 的 直观 感受 ， 包 括 编译 Go 代码 库 的 过 程 。 像 其 他 章节 一 
样 ， 这 里 我 也 准备 了 一 个 可 以 作为 Docker 主机 的 Vagrant 虚拟 机 ， 里 面 还 有 Go 1.4.2， 以 
及 runc 代码 的 克隆 。 你 可 以 通过 下 面 的 命令 局 动 这 个 虚拟 机 。 

$ git cLone https://github.com/how2dock/docbook.git 

$ cd docbook/ch04/runc 


$ vagrant up 
$ vagrant ssh 


在 进入 到 这 个 虚拟 机 的 终端 之 后 ， 你 需要 先 通过 go get 来 下 载 runc 的 所 有 依赖 。 当 依赖 
下 载 完毕 之 后 ， 就 可 以 开始 构建 和 安装 runc 了 。 请 确保 在 你 的 系统 路 径 中 能 找到 runc。 




















估计 不 和 久之 后 该 构建 过 程 就 会 发 生 改 变 。 可 能 会 使 用 Docker 本 身 进行 构建 。 











$ cd go/src 

$ go get github.com/opencontainers/runc 
$ cd github.com/opencontainers/runc/ 

$ make 





$ sudo make install 
$ runc -v 
runc version 0.2 


要 想 通 过 runc 来 运行 一 个 容器 ， 你 需要 一 个 根 文 件 系统 来 描述 你 的 容器 镜像 。 获 得 容器 镜 
像 的 最 简单 的 方式 是 ， 使 用 Docker 本 身 并 使 用 docker export 命令 。 所 以 我 们 来 拉 取 一 个 
镜像 ， 局 动 一 个 容器 后 将 它 导 出 为 一 个 压缩 包 ， 如 下 所 示 。 

cd ~ 

mkdir foobar 

cd foobar 

docker run --name foobar -d ubuntu:14.04 sleep 30 

docker export -o foobar .tar foobar 


sudo -xf foobar .tar 
rm foobar .tar 


为 了 运行 这 个 容器 ， 你 需要 生成 一 个 配置 文件 。 这 可 以 非常 方便 地 通过 runc spec 命令 来 
完成 。 为 了 快速 启动 一 个 容器 ， 你 只 需要 修改 一 个 地 方 ， 那 就 是 根 文件 系统 的 位 置 。 在 这 
个 JSON 文件 中 ， 编 辑 path 属性 。 下 面 是 这 个 配置 文件 的 部 分 摘要 。 


$ runc spec > config.json 
$ vi config.json 














WUUUUUrUr 




















"root": { 
"path": 内 上 
"readonly": true 


现在 你 就 可 以 以 root 用户 身份 执行 runc 命令 来 启动 你 的 容器 了 ， 之 后 将 会 进入 容器 中 的 
shell， 如 下 所 示 。 


$ sudo runc 
# 


这 是 对 Docker 和 开放 容器 标准 将 会 如 何 发 展 的 一 个 更 深层 次 的 探索 。 你 现在 可 以 浏览 一 
下 配置 文件 内 容 ， 看 看 如 何 为 你 的 容器 定义 启动 命令 、 网 络 命名 空间 和 各 种 卷 挂 载 。 


4.6.3 讨论 

开放 容器 项 目 是 一 个 好 消息 。2014 年 未 ，CoreOS 已 经 开始 开发 容器 镜像 的 开放 标准 appc 
(https://github.com/appc/spec)， 包 括 一 个 新 的 信任 机 制 。CoreOS 也 开发 了 一 个 可 以 运行 基 
于 appc 的 容器 运行 时 实现 。 作 为 OCP 的 一 部 分 ，appc 开发 人 员 将 会 帮助 制定 新 的 runc 规 
范 ， 从 而 避免 容器 镜像 格式 与 运行 时 实现 的 分 裂 。 

如 果 看 一 下 应 用 程序 容器 镜像 (application container image，ACI) (https://github.com/coreos/ 
rkt/blob/master/Documentation/app-container.md#ACI) 的 清单 ， 你 会 发 现 ， 这 与 前 面 解决 方 
案 部 分 中 runc spec 创建 的 配置 文件 非常 相似 。 你 会 看 到 一 些 rkt 实现 的 功能 也 会 被 移植 
到 runc 中 。 
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如 果 你 关心 容器 标准 ， 可 以 关注 一 下 开放 容器 项 目 ， 等 待 容器 标准 的 发 布 。 





4.6.4 ”参考 


。 cloudgear.net 上 的 一 篇 博客 文章 (https:/www.cloudgear.net/blog/2015/getting-started-with- 
runc/) 启发 es 


。 开放 容器 项 目 (https://www.opencontainers.org) 


P39 


。 应 用 容器 规范 (https://github.com/appc/spec) 
。 rkt 运行 时 (https://github.com/coreos/rkt) 


4.7 远程 访问 Docker 守 护 进 程 


4.7.1 问题 


默认 的 Docker 守护 进程 监听 Unix 套 接 字 (/var/run/docker.sock)， 因 此 你 只 能 在 本 地 
主机 上 访问 到 Docker 守护 进程 。 但 是 ， 你 想 远程 访问 Docker 主机 ， 在 不 同 的 主机 上 调用 
Docker 的 API。 


4.7.2 解决 方案 
修改 配置 文件 /etc/default/docker 来 切换 Docker 守护 进程 的 监听 协议 ， 启 用 远程 API 调用 。 


在 /etc/default/docker 文件 中 ， 添 加 一 行 设置 DOCKER_HOST 使 用 tcp， 端 口 为 2375。 然 后 通 
过 sudo service docker restart 命令 重新 启动 Docker 守护 进程 ， 如 下 所 示 。 


$ cat /etc/default/docker 














# Use DOCKER_OPTS to modify the daemon startup options. 
#DOCKER_OPTS="--dns 8.8.8.8 --dns 8.8.4.4" 
DOCKER_OPTS="-H tcp://127.0.0.1:2375" 


之 后 你 就 可 以 使 用 Docker 客户 端 通过 TCP 来 访问 指定 远程 主机 ， 如 下 所 示 。 


$ docker -H tcp://127.0.0.1:2375 images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
ubuntu 14.04 04c5d3b7b065 6 days ago 192.7 MB 








这 种 方法 没有 使 用 加 密 和 身份 验证 机 制 。 你 不 应 该 在 一 台 通 过 公 网 可 以 访问 
的 主机 上 使 用 这 样 的 配置 ， 否 则 你 的 Docker 守护 进程 将 会 暴露 给 所 有 人 。 
如 果 想 在 生产 环境 中 从 远程 访问 Docker 守护 进程 ， 你 需要 确保 Docker 守护 
进程 的 安全 性 (参见 范例 4.9)。 























4.7.3 讨论 
Docker 守护 进程 监听 在 TCP 协议 之 后 ， 你 现在 可 以 使 用 curt 发 起 API 调用 并 查看 返 
果 。 这 是 一 种 非常 高 效 的 学 习 Docker 远程 API 的 途径 ， 如 下 所 示 。 


$ curl -s http://127.0.0.1:2375/images/json | python -m json.tool 
[ 


回 
证 











{ 
"Created": 1418673175, 
"Id": "04c5d3b7b0656168630d3ba35d8889bdaafcaeb32bfbc47e7c5d35d2"， 
"ParentId”: "d735006ad9c1b1563e021d7a4fecfd384e2alc42e78d8261b83d6271"， 
"RepoTags”: [ 
"ubuntu:14.04" 
] ， 


"Size": 0， 
"VirtualSize": 192676726 


] 


我 们 将 curl 命令 的 输出 通过 管道 的 方式 传递 给 了 python -m json.tooL， 让 结果 的 JSON 
对 象 更 易 读 。-s 参数 用 于 隐藏 数据 传输 过 程 中 的 调试 信息 。 


4.8 通过 Docker 远 程 API 完 成 自动 化 任务 


4.8.1 问题 


在 可 以 远程 访问 Docker 守护 进程 之 后 (参见 范例 4.7)， 你 希望 浏览 一 下 Docker 远程 API 
以 便 编 写 程序 。 你 可 以 使 用 这 些 API 进行 Docker 任务 的 自动 化 。 


4.8.2 解决 方案 


Docker 远程 API 提供 了 详细 的 文档 (https://docs.docker.com/reference/api/docker_remote_ 
api_v1.20/)。 现 在 的 远程 API 版 本 为 1.20。Docker 远程 API 是 一 个 REST API， 通 过 使 用 
不 同 的 HITP 方 法 (比如 GET、POST 和 DELETE) 进行 HTTP 调用 ， 对 各 种 资源 (比如 镜像 
和 容器 ) 进行 管理 。attach 和 pull 这 两 个 API 不 是 纯 REST 的 ， 这 在 API 文档 中 也 有 说 明 。 


你 已 经 学 习 了 如 何 让 Docker 守护 进程 监听 TCP 套 接 字 (参见 范例 4.7)， 并 使 用 curl 进行 
































二 
































API 调用 。 表 4-1 和 表 4-2 总 结 了 现在 能 使 用 的 Docker 远程 API。 

表 4-1: 对 容器 进行 操作 的 API 
容器 操作 HTTP 方 法 URI 容器 操作 Hl UR 
获取 容器 列表 GET /containers/json 重启 容器 POST /containers/(id)/restart 
创建 容器 POST /containers/create 终止 容器 POST /containers/(id)/kill 
查看 容器 详情 。 GET /containers/(id)/json | 暂停 容器 POST /containers/(id)/pause 
启动 容器 POST /containers/(id)/start | 删除 容器 DELETE /containers/(id) 
停止 容器 POST /containers/(id)/stop 
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表 4-2: 对 镜像 进行 操作 的 API 

















镜像 操作 HTTP 方 法 URI 

获取 镜像 列表 GET /images/json 

创建 镜像 POST /images/create 

在 镜像 仓库 中 为 镜像 打 标 签 、 POST /images/(name)/tag 

删除 镜像 DELETE /images/(name) 

查找 镜像 GET /images/search 

比如 ， 让 我 们 从 公有 registry ( 即 Docker Hub) 下 载 Ubuntu 14.04 的 镜像 ， 从 这 个 镜像 创建 


一 个 


容器 并 启动 这 个 容器 ， 然 后 删除 这 个 容器 和 镜像 。 注 意 ， 这 只 是 一 个 示例 而 已 ， 这 个 











容器 开始 运行 之 后 会 立刻 退出 ， 因 为 你 没有 指定 任何 要 在 容器 中 运行 的 命令 ， 如 下 所 示 。 


$ curl -X POST -d "fromImage=ubuntuy" -d "tag=14.04" 
http://127.0.0.1:2375/images/create 
$ curl -X POST -H 'Content-Type: application/json' 
-d '{"Image":"ubuntuyu:14.04"}' 
http://127.0.0.1:2375/containers/create 
{"Id":"6b6bd46f483a5704d4bced62ff58a0Qac5758fb0875ec881fa68f0Qe...",\ 
"Warnings":null} 


$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS 
$ docker ps -a 

CONTAINER ID IMAGE COMMAND CREATED STATUS 
6b6bd46f483a ubuntu:14.04 "/bin/bash" 16 seconds ago 


$ curl -X POST http://127.0.0.1:2375/containers/6b6bd46f483a/start 
$ docker ps -a 

CONTAINER ID IMAGE COMMAND CREATED 
6b6bd46f483a Ubuntu:14.04 "/bin/bash" About a minute ago 


现在 让 我 们 来 做 清理 工作 ， 如 下 所 示 。 





$ curl -X DELETE http://127.0.0.1:2375/containers/6b6bd46f483a 

$ curl -X DELETE http://127.0.0.1:2375/images/04c5d3b7b065 
[{"Untagged":"ubuntu:14.04"} 
,{"Deleted":"04c5d3b7b0656168630d3ba35d8889bd0Qe9caafcaeb3004d2bfbc47e7c5d35d2"} 
,{"Deleted":"d735006ad9c1b1563e021d7a4fecfd75ed36d4384e2alc42e78d8261b83d6271"} 
,{"Deleted":"70c8faa62a44b9f6a70ec3a018ec1i4ec95717ebed2016430e57feciabc90a879"} 
,{"Deleted":"c7b7c64195686444123ef370322b5270b098c77dc2d62208e8a9ce28a11a63f9"} 
,{"Deleted":"511136ea3c5a64f264b78b5433614aec563103b4d4702f3ba7d4d2698e22c158"} 
$ docker ps -a 


CONTAINER ID IMAGE COMMAND CREATED STATUS 
$ docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 


在 启用 远程 API 访问 之 后 ， 你 可 以 设置 环境 变量 DOCKER_HOST 指向 远程 Docker 
守护 进程 的 HITP 端点 。 这 样 在 执行 docker 命令 的 时 候 就 不 需要 再 使 用 -H 选 
项 了 。 比 如 ， 对 命令 docker -H http://127.0.0.1:2375 ps 来 说 ， 你 可 以 运行 
export DOCKER_HOST=tcp://127.0.0.1:2375， 这 样 就 可 以 直接 执行 docker ps 了 。 
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镍 4 和 章 


4.8.3 讨论 
尽管 可 以 使 用 curl 命令 或 者 编写 自己 的 客户 端 ， 但 是 使 用 已 有 的 Docker 客户 端 软 件 可 以 
方便 你 进行 API 调用 ， 比 如 docker-py (参见 范例 4.10) 。 


表 4-1 和 表 4-2 并 没有 列 出 完整 的 API， 你 应 该 到 官方 文档 (https://docs.docker.com/ 
reference/api/docker_remote_api_v1.20/) 查看 所 有 API 以 及 它们 的 参数 和 返回 结果 示例 。 


4.9 ”从 远程 安全 访问 Docker 守 护 进 程 


4.9.1 问题 
你 需要 安全 地 远程 访问 Docker 守护 进程 。 


4.9.2 ”解决 方案 


为 Docker 守护 进程 配置 基于 TLS (http://tools.ietf.org/html/rfc5246) 的 访问 。 这 将 使 用 公 
共 密 钥 加 密 来 对 Docker 客户 端 和 启用 了 TLS 的 Docker 守护 进程 之 间 的 通信 进行 加 密 和 身 
份 验证 。 

Docker 官方 文档 (https://docs.docker.com/articles/https/#daemon-modes) 记载 了 如 何 测 试 这 
一 安全 特性 的 基本 步 又 。 但 是 ， 这 个 例子 介绍 了 如 何 创 建 自己 的 证 书 颁发 机 构 (certificate 
authority，CA)， 并 用 这 个 CA 来 对 服务 器 端 和 客户 端的 证 书 进行 签名 。 在 正规 的 基础 设施 
中 ， 你 应 该 联系 你 熟悉 的 CA， 并 从 这 个 CA 获得 一 个 服务 器 端 证 3 
为 了 方便 测试 TLS 配置 ， 我 创建 了 一 个 Docker 镜像 (https://registry.hub.docker.com/u/ 
runseb/dockertls/) ， 这 个 镜像 提供 了 一 个 脚本 ， 用 于 创建 CA 以 及 服务 器 端 和 客户 端的 证 书 
和 密 钥 。 你 可 以 从 这 个 镜像 启动 一 个 容器 ， 创 建 测试 所 需要 的 各 种 文件 。 


我 们 将 使 用 Ubuntu 14.04 主机 ， 并 运行 最 新 版 的 Docker (参见 范例 1.1)。 下 载 上 面 提 到 的 
镜像 之 后 ， 启 动 一 个 容器 。 你 需要 将 本 地 卷 挂 载 到 容器 内 的 /tmp/ca 上 。 你 还 需要 在 启动 
容器 的 时 候 指 定 主 机 名 (下面 例子 中 的 )。 当 这 个 容器 运行 结束 之 后 ， 所 有 的 CA、 服 务 器 
端 和 客户 端的 密 钥 以 及 证 书 都 会 保存 到 当前 工作 目录 下 ， 如 下 所 示 。 

$ docker pull runseb/dockertls 

$ docker run -ti -v $(pwd):/tmp/ca runseb/dockertls <hostname> 

$ ls 


Cakey.pem ca.pem ca.srl clientcert.pem client.csr clientkey.pem 
extfile.cnf makeca.sh servercert.pem server.csr serverkey.pem 


停止 正在 运行 中 的 Docker 守护 进程 。 创 建 一 个 /etc/docker 的 文件 夹 以 及 一 个 ~/.docker 文 
件 夹 。 将 CA、 服务 器 端 密 钥 和 证 书 复制 到 /etc/docker 文件 夹 下 。 将 CA、 客 户 端 密 钥 和 证 
书 复制 到 ~/.docker 文件 夹 下 ， 如 下 所 示 。 

$ sudo service docker stop 

$ sudo mkdir /etc/docker 


$ mkdir ~/.docker 
$ sudo cp {ca,servercert,serverkey}.pem /etc/docker 
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$ cp ca.pem ~/ .docker/ 
$ cp clientkey.pem ~/.docker/key.pem 
$ cp clientcert.pem ~/.docker/cert.pem 


编辑 /etc/default/docker 配置 文件 (这 需要 root 身份 ) ， 修 改 D0CKER_0PTS (将 test 替换 为 
你 自己 的 主机 名 ) ， 其 内 容 如 下 所 示 。 


DOCKER_OPTS=”-H tcp://<test>:2376 --tlsverify \ 
--tlscacert=/etc/docker/ca.pem \ 
--tlscert=/etc/docker/servercert.pem \ 
--tlskey=/etc/docker/serverkey .pem" 





然后 通过 sudo service docker restart 重新 启动 Docker 服务 ， 党 试 连接 Docker 守护 进 
程 ， 如 下 所 示 。 
$ docker -H tcp://test:2376 --tlsverify images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
runseb/dockertls latest Sed60e0f6a7c 17 minutes ago 214.7 MB 


4.9.3 ”讨论 


runseb/dockertls 是 一 个 自动 构建 的 镜像 ， 其 Dockerfile 可 以 在 https://github. 
com/how2dock/docbook/ch04/tls 上 查看 。 











通过 设置 一 些 环境 变量 (DOCKER_HOST 和 DOCKER_TLS_VERIFY)， 你 可 以 在 CLI 中 轻松 配置 
TLS 连接 ， 如 下 所 示 。 


$ export DOCKER_HOST=tcp://test:2376 

$ export DOCKER_TLS_VERIFY=1 

$ docker images 

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
runseb/dockertls latest 5ed60egf6a7c 19 minutes ago 214.7 MB 


范例 47 中 介绍 的 curt 命令 仍然 可 以 使 用 ， 但 是 你 需要 指定 客户 端的 密 钥 和 证 书 ， 如 下 所 示 。 


$ curl --insecure --cert ~/.docker/cert.pem --key ~/.docker/key.pem \ 
-s https://test:2376/images/json | python -m json.tool 
[ 


"Created": 1419280147， 
"Id": "5ed60e0f6a7ce3df3614d20dcadf2e4d43f4054da64d52709c1559ac"， 
"ParentId": "138f848eb669500df577ca5b7354cef5e65b3c728b0c241221c611b1"， 
"RepoTags": [ 
"runseb/dockertls: latest" 
]， 
"Size": 0， 
"VirtualSize": 214723529 





需要 注意 的 是 ， 由 于 你 使 用 的 是 自己 创建 的 证 书 颁发 机 构 ， 所 以 这 里 使 用 了 curl 命令 的 
--insecure 选项 。 默 认 情 况 下 ，curl 命令 将 会 向 宿主 机 上 安装 的 CA 列表 中 的 CA 进行 证 
书 的 验证 。 如 果 服 务 器 端 以 及 客户 端的 密 钥 和 证 书 来 自 宿主 机 中 已 经 安装 的 CA 列表 中 的 
某 一 CA， 则 可 以 不 用 再 建立 --insecure 的 连接 。 不 过 ， 使 用 这 个 选项 并 不 代表 该 TLS 不 
能 正常 工作 。 


4.10 使 用 docker-py 访 问 远程 Docker 守 护 进 程 


4.10.1 问题 


尽管 Docker 客户 端 程序 很 强大 ， 但 是 你 希望 利用 Python 客户 端 软件 来 访问 Docker 守护 进 
程 。 有 具体 来 说 ， 你 想 编 写 一 个 Python 程序 来 调用 Docker 远程 API。 


4.10.2 ”解决 方案 


通过 Pip 安装 docker-py 模块 。 在 一 个 Python 脚本 或 者 交互 式 shell 中 ， 创 建 一 个 远程 
Docker 守护 进程 连接 ， 开 始 API 调用 。 


尽管 本 范例 主要 讲 docker-py， 但 是 这 个 例子 也 说 明了 你 可 以 使 用 自己 的 客 
户 端 软 件 与 Docker 守护 进程 交互 ， 不 必 局 限于 默认 的 Docker 客户 端 。 有 很 
多 使 用 各 种 编程 语言 (https://docs.docker.com/reference/api/remote_api_client_ 
libraries/) 编写 的 客户 端 程序 ， 比 如 Java、Groovy、Perl、PHP、Scala 和 
Erlang 等 ， 你 也 可 以 通过 学 习 Docker API 参考 文档 (https://docs.docker.com/ 
reference/api/docker_remote_api_v1.16/) 来 编写 自己 的 Docker 客户 端 。 






























































docker-py 是 一 个 由 Python 编写 的 Docker 客户 端 。 你 可 以 从 源 代码 (https://github.com/ 
docker/docker-py) 进行 安装 ， 或 者 使 用 更 方便 的 方法 一 一 通过 pip 命令 从 Python Package 
Index (https://pypi.python.org/pypi) 下 载 该 软件 。 不 过 ， 首 先 你 需要 安装 python-ptp， 然 
后 再 安装 docker-py 包 。 在 Ubuntu 14.04 上 可 以 进行 如 下 操作 。 


$ sudo apt-get install python-pip 
$ sudo pip install docker-py 





docker-py 的 文档 (http://docker-py.readthedocs.org/en/latest/) 讲述 了 如 何 创 建 一 个 远程 
Docker 守护 进程 的 连接 。 创 建 一 个 Client 类 的 实例 ， 通 过 base_url 参数 来 指定 Docker 守 
护 进程 的 监听 信息 。 假 设 Docker 守护 进程 监听 本 地 的 Unix 套 接 字 ， 则 创建 连接 的 过 程 如 
下 所 示 。 


$ python 

Python 2.7.6 (default, Mar 22 2014, 22:59:56) 

[GCC 4.8.2] on Linux2 

Type "help", "copyright", "credits" or "license" for more information. 
>>> from docker import Client 

>>> c=Client(base_url="unix://var/run/docker .sock") 

>>> c.containers() 


[] 
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假如 你 的 Docker 主机 按照 范例 4.7 的 说 明 让 Docker 守护 进程 监听 TCP， 则 创建 远程 连接 
的 方法 如 下 所 示 。 

$ python 

Python 2.7.6 (default, Mar 22 2014, 22:59:56) 

[GCC 4.8.2] on Linux2 

Type "help", "copyright", "credits" or "license" for more information. 

>>> from docker import Client 


>>> c=Client(base_url="tcp://127.0.0.1:2375") 
>>> c.containers() 


[] 
你 可 以 在 Python 交互 式 会 话 的 提示 符 下 输入 help(c)， 来 获得 docker-py 提供 的 方法 列表 。 


4.10.3 ”讨论 


docker-py 模块 有 一 些 基本 文档 (http://docker-py.readthedocs.org/en/latest/)。 其 中 值得 一 
提 的 是 ， 该 模块 通过 一 个 用 于 创建 Boot2Docker 连接 (http://docker-py.readthedocs.org/en/ 
latest/boot2docker/) 的 帮助 方法 ， 提 供 了 与 Boot2Docker (范例 1.7) 的 集成 。 由 于 最 新 的 
Boot2Docker 使 用 了 TLS 来 提供 对 Docker 守护 进程 的 安全 访问 ， 实 际 的 操作 步骤 与 我 们 的 
演示 内 容 可 能 会 有 一 些 不 同 。 不 过 ， 对 有 兴趣 试用 docker-py 的 用 户 来 说 ， 这 个 模块 还 有 
一 个 bug 需要 额外 提醒 一 下 。 


启动 Boot2Docker。 



































$ boot2docker start 
Waiting for VM and Docker daemon to start... 


Started. 

Writing /Users/sebgoa/.boot2docker/certs/boot2docker-vm/ca.pem 
Writing /Users/sebgoa/.boot2docker/certs/boot2docker-vm/cert.pem 
Writing /Users/sebgoa/.boot2docker/certs/boot2docker-vm/key.pem 


To connect the Docker client to the Docker daemon, please set: 
export DOCKER_HOST=tcp://192.168.59.103:2376 
export DOCKER_CERT_PATH=/Users/sebgoa/ .boot2docker/certs/boot2docker -vm 
export DOCKER_TLS_VERIFY=1 


上 面 的 命令 输出 了 一 组 需要 进 和 了 设置 的 环境 变量 。 Boot2Docker 提供 了 一 个 非常 方便 的 工 
具 $C(boot2docker shellinit) 来 帮助 你 进行 各 种 设置 。 但 是 ， 为 了 让 docker-py 正常 工作 ， 
你 需要 编辑 /etc/hosts 文件 并 设置 不 同 的 和 在 /etc/hosts 文件 中 ， 添 加 一 条 记 
录 了 boot2docker IP 地 址 及 其 本 地 DNS 名 称 ( 即 boot2docker) 的 记录 ， 然 后 执行 export 
DOCKER_HOST=tcp://boot2docker:2376。 之 后 在 Python 交互 式 shell 中 进行 如 下 操作 。 















































>>> from docker.client import Client 

>>> from docker.utils import kwargs_from_env 
>>> CLient = CLient(**kwargs_from_env()) 

>>> client.containers() 





4.11 安全 使 用 docker-py 


4.11.1 问题 
你 希望 通过 docker-py Python 客户 端 来 访问 远程 的 启用 了 TLS 安全 访问 的 Docker 守护 进程 。 


4.11.2 解决 方案 

按照 范例 4.9 中 的 步骤 设置 好 Docker 主机 之 后 ， 检 查 一 下 是 否 能 通过 TLS 连接 到 Docker 
守护 进程 。 

举例 来 说 ,假设 你 的 主机 名 为 dockerpytls， 客 户 端 的 证 书 、 密 钥 和 CA 都 保存 在 默认 的 位 
置 ~/.docker/， 可 以 尝试 如 下 操作 。 


$ docker -H tcp://dockerpytls:2376 --tlsverify ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 








请 确认 你 已 经 安装 了 docker_py 包 ， 代 码 如 下 所 示 。 


sudo apt-get -y install python-pip 
sudo pip install docker-py 





当 确 认 TLS 可 以 正常 工作 之 后 ， 打 开 一 个 Python 交互 式 shell， 使 用 如 下 的 配置 创建 一 个 
docker-py 客户 端 实例 。 


tls_config = docker.tls.TLSConfig( 
client_ cert=('/home/vagrant/.docker./cert.pem', \ 
'/home/vagrant/.docker/key.pem'), \ 
ca_Ccert=' /home/vagrant/ .docker/ca.pem') 
client = docker.CLient(base_UrL='https://host:2376' ，tLs=tLs_config) 


这 段 代 码 等 同 于 在 命令 行 上 使 用 下 面 的 命令 对 Docker 守护 进程 发 起 调用 。 


$ docker -H tcp://host:2376 --tlsverify --tLscert /path/to/client-cert.pem \ 
--tlskey /path/to/client-key.pem \ 
--tlscacert /path/to/ca.pem ... 

















4.11.3 参考 


。 docker-py 文档 (http://docker-py.readthedocs.org/en/latest/tls/) 
。 Docker 对 HTTPS 的 支持 (https://docs.docker.com/articles/https/) 


4.12 更 改 存储 驱动 程序 


4.12.1 问题 
安装 Docker 时 ， 不 想 使 用 系统 默认 的 存储 驱动 程序 ， 而 是 使 用 其 他 不 同 的 存储 驱动 程序 。 
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4.12.2 ”解决 方案 


本 范例 将 会 讲述 如 何 修改 Docker 使 用 的 后 端 存储 。 你 将 会 从 一 台 Ubuntu 14.04 系统 开始 ， 
该 系统 的 内 核 版 本 为 3.13， 使 用 了 AUFS (Another Union File System) ， 并 安装 了 Docker 
1.7， 然 后 你 想 切 换 到 overlay 文件 系统 。 像 前 面 的 章节 一 样 ， 你 可 以 使 用 本 书 附 带 的 代码 
仓库 中 提供 的 Vagrantfile。 让 我 们 进行 如 下 操作 。 


$ git clone https://github.com/how2dock/docbook.git 
cd docbook/ch04/overlay 

vagrant up 

vagrant ssh 

Uname -r 

.13.0-39-generic 

$ docker info | grep Storage 

Storage Driver: aufs 

$ docker version | grep Server 

Server version: 1.7.0 


Linux 内 核 自 3.18 之 后 开始 支持 overlay 文件 系统 。 因 此 , 为 了 切换 存储 驱动 程序 ， 你 首 
先 需要 将 你 计算 机 上 的 内 核 升级 (http://ubuntuhandbook.org/index.php/2014/12/install-linux- 
kernel-3-18-ubuntu/) 到 3.18 版 本 , 并 重启 系统 。 


$ cd /tmp 

$ wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v3.18-vivid/\ 
linux-headers-3.18.0-031800-generic_3.18.0-031800.201412071935_amd64.deb 

$ wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v3.18-vivid/\ 
linux-headers-3.18.0-031800_3.18.0-031800.201412071935_all.deb 

$ wget http://kernel.ubuntu.com/~kernel-ppa/mainline/v3.18-vivid/\ 
linux-image-3.18.0-031800-generic_3.18.0-031800.201412071935_amd64.deb 

$ sudo dpkg -i linux-headers-3.18.0-*.deb linux-image-3.18.0-*.deb 

$ sudo update-grub 

$ sudo shutdown -r now 


当主 机 重启 完成 之 后 ， 重 新 连接 到 该 主机 。 现 在 你 就 可 以 修改 Docker 的 配置 文件 ， 局 
动 Docker 守护 进程 时 通过 使 用 -s 选项 ， 将 存储 驱动 程序 设置 为 overlay 文件 系统 。 
$ uname -r 
.18.0-031800-generic 


3 
$ sudo su 

# service docker stop 
# 

# 
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echo DOCKER_OPTS=\"-s overlay\" >> /etc/default/docker 
service docker start 


现在 这 台 主 机 上 Docker 的 存储 驱动 程序 已 经 切换 为 overlay 了 。 


$ docker info | grep Storage 
Storage Driver: overlay 











AUFS 已 经 是 3.13~3.16 版 本 内 核 的 默认 存储 驱动 程序 了 ， 特 别 是 在 Ubuntu 
系统 上 。 从 版 本 3.18 开始 ，Linux 上 游 (主线 ) 内 核 已 经 开始 支持 overlay 
文件 系统 ， 而 AUFS 则 还 没有 进入 到 上 游 内 核 。 你 可 以 考虑 使 用 overlay 文 
件 系 统 。 








4.12.3 讨论 


Docker 可 以 使 用 多 种 存储 后 端 来 存储 镜像 和 容器 的 文件 系统 。Docker 存储 抽象 通过 将 镜像 
和 容器 文件 系统 保存 在 层 中 ， 并 只 对 层 与 层 之 间 的 变动 进行 跟踪 ， 以 减 小 存储 镜像 和 容器 
文件 系统 所 需要 的 空间 。Docker 存储 依赖 联合 文件 系统 来 实现 上 述 功能 。 


你 可 以 选择 下 面 这 些 文件 系统 作为 Docker 的 存储 后 端 。 


。 vfs 























。 devicemapper 
。 btrfs 
。 aufs 


。 overlay 


从 Docker 存储 驱动 程序 的 角度 来 看 ， 分 析 这 些 解决 方案 的 稳定 性 和 性 能 差异 ， 并 不 在 本 
范例 的 讨论 范围 之 内 。 








4.12.4 ”参考 


。 在 Ubuntu 14.04 上 将 内 核 升 级 到 3.18 (http://ubuntuhandbook.org/index.php/2014/12/ 
install-linux-kernel-3-18-ubuntu/) 

。 深入 理解 Docker 存储 驱动 程序 (http://jpetazzo.github.io/assets/2015-03-03-not-so-deep- 
dive-into-docker-storage-drivers.html#1 ) 

。 Docker 支持 的 文件 系统 列表 (http://www.projectatomic.io/docs/filesystems/) 
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第 5 章 


Kubernetes 





5.0 简介 
一 一 本 节 内 容 由 Joe Beda 提供 


随 着 应 用 的 成 长 超出 单 台 主机 所 能 承受 的 负载 ， 对 编排 系统 orchestration system) 的 需求 
也 就 出 现 了 。 编 排 系统 帮助 用 户 将 一 组 主机 (也 称 为 节点 ) 视 为 一 个 统一 、 可 编程 、 可 靠 
的 集群 。 这 个 集群 可 以 当 作 一 台大 型 计算 机 来 使 用 。 

Kubernetes (有 时 简称 为 k8s，http://kubernetes.io) 是 Google 为 满足 这 个 需求 而 开发 的 开 
源 项 目 。Kubernetes 的 想法 来 源 于 Borg (http://research.google.com/pubs/pub43438.html) 
和 Omega (http://research.google.com/pubs/pub41684.html)， 这 两 个 项 目 在 Google 内 部 系 
统 中 都 已 经 经 过 了 十 儿 年 的 验证 。Google 所 有 的 服务 都 由 这 两 个 系统 来 运行 和 管理 ， 包 
括 Google 搜索 、Google 邮件 等 。 构 建 并 运营 大 规模 Borg 集群 的 许多 工程 师 也 参与 到 了 
Kubernetes 的 设计 和 开发 之 中 。 


很 长 时 间 以 来 ，Borg 一 直 都 是 前 Google 工程 师 最 怀念 的 东西 。 但 是 现在 ，Kubernetes 为 
没有 在 Google 工作 过 的 工程 师 弥 补 了 这 一 缺憾 。Kubernetes 也 提供 了 一 些 增强 功能 和 全 新 
的 概念 。 


5.0.1 增强 功能 
Kubernetes 集群 在 多 个 Docker 节点 之 间 进 行 协 调 ， 提 供 一 个 统一 的 可 编程 模型 ， 它 具有 下 
面 这 些 增强 功能 。 
。 可 靠 的 容器 重启 
Kubernetes 可 以 监视 容器 的 运行 状况 ， 并 在 出 现 故 障 时 重新 启动 容器 。 
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自 念 
如 果 一 个 市 点 失效 了 ，Kubernetes 管理 系统 会 自动 将 失效 节点 上 的 任务 重新 调度 到 健康 
的 市 点 上 。 动 态 服 务 归属 机 制 可 以 确保 这 些 新 启动 的 容器 能 被 发 现 并 使 用 。 


高 集群 利用 率 

通过 在 一 组 通用 的 计算 机 上 调度 一 组 不 同类 型 的 工作 负载 ， 与 静态 的 手动 配置 方式 相 
比 ， 用 户 可 以 大 幅 提高 计算 机 的 利用 率 。 集 群 越 大 ， 工 作 负 荷 种 类 越 多 ， 计 算 机 的 利用 
率 就 越 高 。 

组 织 和 分 组 

在 大 型 集群 中 ， 追 踪 所 有 正在 运行 的 容器 可 能 非常 困难 。Kubernetes 提供 了 一 个 灵活 
的 标签 (label) 系统 ， 让 用 户 和 其 他 系统 可 以 以 一 组 容器 为 单位 来 进行 处 理 。 此 外 ， 
Kubernetes 支持 命名 空间 功能 ， 让 不 同 的 用 户 或 团队 在 集群 中 看 到 相互 隔离 的 不 同 视图 。 
水 平 扩展 和 复制 

Kubernetes 的 目标 是 让 横向 扩展 能 够 轻松 进行 。 扩 展 和 人 负载 平衡 都 是 大 规模 计算 机 中 最 
基本 的 概念 。 

微服 务 友 好 

Kubernetes 集群 是 采用 微服 务 架 构 团队 的 一 个 完美 伴侣 。 应 用 程序 可 以 被 分 解 成 更 易于 
开发 、 扩 展 和 推导 的 更 小 单位 。Kubernetes 提供 了 服务 发 现 以 及 与 其 他 服务 进行 通信 的 
方式 。 

简化 运 维 

Kubernetes 可 以 由 专门 的 团队 来 负责 运 维 。 对 Kubernetes 集群 和 其 所 运行 节点 的 管理 可 
以 由 专门 的 团队 来 负责 或 外 包 给 云 服 务 。 指 定 应 用 程序 的 运 维 团 队 (或 者 开发 团队 自 
己 ) 可 以 专注 于 应 用 程序 的 运行 ， 而 不 必 去 具体 地 管理 备 个 市 点 。 
































































































































5.0.2 全 新 的 概念 


Docker 非常 适合 在 单 台 主机 上 运行 容器 ，Kubernetes 则 致力 于 解决 传统 的 多 节点 通信 和 规 
模 扩 展 所 带 来 的 挑战 。 为 此 ，Kubernetes 提出 了 下 面 一 组 全 新 的 概念 。 

















集群 调度 

选择 一 个 市 点 来 运行 新 容器 ， 以 优化 集群 的 可 靠 性 和 利用 率 的 过 程 。 

pod 

必须 将 一 组 容器 放置 到 同一 个 市 点 上 ， 像 一 个 团队 一 样 工 作 。 在 一 个 闻 点 上 将 一 组 容器 

















紧密 地 联系 在 一 起 ， 是 使 应 用 更 易 管理 的 一 种 强大 的 方式 。 
标签 (label) 
添加 到 pod 的 元 数据 ， 用 于 对 容器 进行 分 组 以 进行 监控 和 管理 。 


replication controller 


用 于 确保 系统 能 进行 水 平 扩展 的 代理 (agent) ， 也 负责 保证 对 pod 进行 可 靠 的 管理 。 
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。 网 络 服务 


一 种 用 于 在 pod 之 间 以 及 儿 组 pod 之 间 进 行 通信 的 方式 ， 采 用 了 动态 配置 的 命名 和 网 络 





代理 。 














这 些 概念 都 是 什么 意思 呢 ? 让 我 们 现在 就 开始 深入 理解 并 使 用 Kubernetes ! 








5.1 理解 Kubernetes 架 构 


5.1.1 问题 


你 需要 一 个 容器 管理 系统 ， 它 需要 具备 可 扩展 性 和 容错 能 力 ， 并 且 你 想 学 习 Kubernetes 的 


架构 (参见 图 5-1)。 





用 户 工作 站 
kubect| 


© Kubernetes APl 








Kubernetes Master 


APl Server 
Scheduler 


Controller Mgr 


主 节点 存储 
(etcd) 











5-1: Kubernetes 架构 图 


5.1.2 解决 方案 
Kubernetes 的 主要 架构 包括 下 面 这 些 内 容 。 


。 Kubernetes master 服务 

















这 些 集中 式 服务 (可 以 在 Docker 容器 中 运行 ) 提供 了 API 来 收集 和 展现 群集 的 当前 状 
态 ， 并 在 市 点 之 间 分 配 pod。 大 多 数 用 户 将 始终 与 master API 直接 交互 。 这 为 整个 集群 








提供 了 一 个 统一 视图 。 
。 主 节 点 存储 


目前 ，Kubernetes 所 有 的 持久 化 状态 都 保存 在 etcd 中 。 随 着 时 间 的 推进 ， 新 的 存储 引 


擎 会 不 断 增加 。 








二 
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。 kubelet 
这 个 代理 (agent) 运行 在 每 个 节点 之 上 ， 负 责 控制 Docker， 向 master 报告 自己 的 状态 ， 
以 及 配置 节点 级 别 的 资源 (比如 远程 磁盘 存储 ) 。 


。 Kubernetes proxy 
这 个 代理 (proxy) 运行 二 每 个 节点 之 上 (也 能 在 其 他 地 方 运行 )， 为 本 地 容器 提供 了 一 
个 单一 的 网 络 接口 ， 以 连接 到 一 组 pod。 


5.1.3 讨论 

用 户 通过 工具 (比如 kubectl) 调用 Kubernetes API 和 Kubernetes master 进行 交互 。API 

文档 (由 源 代码 自动 构建 ) 可 以 在 Kubernetes 的 网 站 (http://kubernetes.io/third_party/ 

swagger-ui/) 上 看 到 。master 节点 负责 存储 用 户 想 要 运行 的 容器 的 描述 信息 〈 在 API 中 被 

称 为 spec)。 之 后 它 会 将 这 些 描述 信息 变 为 现实 。 它 也 负责 报告 集群 的 当前 状态 。 

kubelet 和 proxy 运行 在 集群 中 的 每 个 worker 市 点 上 。kubelet 负责 控制 Docker 以 及 设置 其 

他 节点 级 别 的 状态 ， 比 如 存储 卷 (storage volume)。proxy 负责 为 与 服务 (通常 由 一 组 在 集 

群 中 运行 的 容器 实现 ) 进行 通信 提供 一 个 稳定 的 本 地 接口 。 

Kubernetes 管理 pod。pod 是 一 组 计算 资源 ， 它 为 一 组 容器 提供 了 上 下 文 环境 。 用 户 可 以 将 

pod 当 作 一 组 以 团队 为 单位 进行 工作 的 容器 ，pod 会 被 分 配 到 同一 个 物理 节点 。 虽 然 简 单 

的 应 用 只 需要 一 个 容器 就 能 实现 ， 但 是 pod 能 适用 于 以 下 各 种 场景 。 

。 多 个 Docker 容器 可 以 共存 于 同一 pod 中 。 这 非常 适合 一 些 高 级 场景 ， 我 们 会 在 范例 5.7 
中 进行 介绍 。 每 个 容器 都 有 自己 的 文件 系统 和 进程 ， 与 普通 容器 一 样 。 

。 pod 定义 了 一 个 共享 的 网 络 接口 。 与 普通 容器 不 一 样 的 是 ， 同 一 个 pod 中 的 容器 都 共享 
同一 个 网 络 接口 。 这 样 , 容器 之 间 就 可 以 通过 localhost 来 进行 简单 且 高 效 的 互相 访问 。 
这 也 意味 着 同一 个 pod 中 的 不 同 容器 不 能 使 用 同一 个 网 络 端口 号 。 

。 存储 卷 也 是 pod 定义 的 一 部 分 。 如 果 需 要 ， 可 以 将 这 些 卷 映射 到 多 个 容器 中 。 也 有 一 些 
特殊 类 型 的 卷 ， 这 些 卷 是 基于 用 户 的 需求 以 及 集群 所 有 具备 的 能 力 。 

下 面 是 使 用 Kubernetes 的 基本 操作 流程 。 


(1) 通过 kubectl 工具 和 Kubernetes API， 用 户 创建 一 个 replication controller 规范 。 该 规范 
包括 一 个 pod 模板 以 及 一 个 希望 的 副本 数 。 

(2) Kubernetes 使 用 这 个 replication controller 中 的 pod 模板 来 创建 一 组 pod。 

(3) Kubernetes Scheduler (master 的 一 个 组 件 ) 查看 集群 的 当前 状态 (有 哪些 可 用 节点 ， 以 
及 各 市 点 都 有 哪些 可 用 资源 )， 然 后 将 pod 绑 定 到 指定 节点 。 

(4) 该 节点 上 的 kubelet 会 观察 分 配给 其 所 在 节点 的 pod 组 中 的 变化 ， 然 后 根据 情况 来 启动 
或 者 终止 pod。 其 过 程 包括 在 需要 时 对 存储 卷 进行 配 置 ， 将 Docker 镜像 下 载 到 指定 市 
点 ， 以 及 通过 调用 Docker API 来 启动 或 停止 各 个 容器 。 


容错 则 是 在 多 个 层次 上 实现 的 。 


。 市 点 上 的 kubelet 负责 对 pod 内 的 个 别 容器 进行 健康 检查 和 监控 。 
。 如 果 pod 停止 或 者 出 错 了 ， 可 以 自动 重启 。 
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。 如 果 整 个 节点 都 出 错 了 ，master 节点 会 监测 到 这 一 状况 ， 并 且 如 果 在 等 待 一 段 时 间 之 后 
发 现 该 出 错 节 点 还 设 有 恢复 ， 就 会 删除 分 配 到 该 节点 上 的 所 有 pod。 这 时 ，replication 
controller (如 果 已 设置 ) 会 创建 新 的 pod 来 取代 出 错 节 点 上 的 旧 pod。 

。 多 层次 的 监控 和 重启 机 制 能 帮助 应 用 程序 在 集群 中 出 现 异常 (软件 或 硬件 ) 时 保持 正常 


运行 。 














pod 只 会 被 调度 一 次 

pod 被 分 配 到 一 个 节点 之 后 就 不 会 再 移动 到 其 他 节点 。 如 果 该 节点 丢失 或 者 从 集群 中 
移 除 ， 这 个 pod 不 会 被 重启 。 这 种 行为 有 点 令 人 惊讶 ， 因 为 Kubernetes 的 目标 之 一 就 
是 确保 能 正常 运行 。 这 种 措施 是 必需 的 ， 因 为 网 络 是 不 完美 的 。 如 果 master 不 能 连接 
到 一 个 节点 ， 则 该 节点 上 的 所 有 pod 都 处 于 一 种 不 确定 的 状态 。 就 master 而 言 ， 它 不 
知道 这 些 pod 到 底 是 处 于 运行 状态 还 是 未 运行 的 状态 。 如 果 同 样 的 pod 在 其 他 节点 上 
被 重新 启动 ， 就 会 出 现 两 个 具有 同样 名 称 和 标识 符 的 pod 同时 运行 的 问题 。 这 可 能 会 
导致 各 种 问题 。 例 如 ， 分 布 式 日 志 可 能 从 多 个 地 方 写 入 ， 而 且 都 采用 了 相同 的 pod ID 
作为 标识 符 。 或 者 pod ID 被 用 作 master 选举 系统 的 一 部 分 ， 而 客户 端 则 会 对 哪个 pod 
才 是 真正 的 master 感到 疑惑 。 





实际 上 ， 为 了 让 服务 可 靠 地 运行 ， 我们 需要 使 用 一 个 replication controller。replication 
controller 需要 一 个 pod 模板 ， 并 努力 保证 有 指定 数量 的 pod 一 直 处 于 运行 状态 来 确保 
pod 能 正常 工作 。 如 果 发 生 了 master 不 能 联系 到 某 一 节点 的 情况 ，replication controller 
会 负责 启动 新 的 pod 来 代替 丢失 的 pod。 如 果 通 信 恢 复 ，replication controller 则 会 删除 
其 中 一 个 宛 余 的 pod。 


5.2 用 于 容器 间 连 接 的 网 络 pod 


一 一 本 范例 由 Joe Beda 提供 











5.2.1 问题 
容器 在 Kubernetes 集群 上 调度 后 ， 你 想 控 制 网 络 通信 如 何 到 达 容 器 。 


5.2.2 解决 方案 

使 用 一 个 网 络 子 系统 来 为 每 个 容器 分 配 一 个 独立 的 全 地 址 ， 这 样 就 可 以 直接 连接 到 该 容器 。 
Kubernetes 自 带 了 一 些 脚本 ， 让 你 能 轻松 地 部 署 到 各 种 云 服务 中 。 很 多 这 样 的 集群 部 署 系 
统 会 自动 为 你 进行 正确 的 网 络 设置 。 但 是 ， 如 果 你 正 要 深入 研究 一 下 它 的 细节 ， 作 为 入 
门 ， 来 自 CoreOS (参见 范例 6.1) 的 Flannel (https://github.com/coreos/flannel) 会 是 一 个 
比较 好 的 选择 。 
其 他 可 选 方案 包括 以 下 这 些 。 

。 在 你 使 用 的 云 上 构建 内 部 网 络 的 路 由 。Kubernetes 已 内 置 对 GCE 和 Amazon EC2 的 支持 。 
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。 使 用 Project Calico (http:/www.projectcalico.org/) 进行 大 规模 裸 机 部 署 。 
。 Weave (http://weave.works/) 是 一 种 支持 在 大 范围 内 进行 加 密 通 信 的 解决 方案 (参见 范 
例 3.11)。 


该 问题 的 解决 方案 是 使 用 Kubernetes service。Kubernetes service 可 以 用 于 集群 内 容器 之 间 
的 通信 ， 也 可 以 用 于 将 外 部 流量 转发 到 一 组 pod。 








5.2.3 讨论 
在 Kubernetes 假定 的 网 络 模型 中 ， 每 个 pod 都 会 获得 一 个 IP 地址。 然后 每 个 pod 都 可 以 
连接 到 其 他 pod， 不 管 这 些 pod 运行 在 哪个 物理 节点 之 上 。 


但 是 ，pod 之 间 能 够 直 连 并 不 意味 着 这 是 pod 之 间 最 简单 或 者 最 好 的 通信 和 方式。 一旦 一 个 
pod 失败 或 者 被 新 的 pod 赫 换 ， 调 用 代码 必须 知道 如 何 去 重 连 一 个 新 的 地 址 。 这 种 动态 重 
连 方式 非常 难以 集成 到 现 有 的 很 多 服务 器 或 者 框架 中 。Kubernetes service 正 是 这 一 问题 的 
解决 方案 (参见 范例 5.8) 。 


5.2.4 参考 


。 Kubernetes 网 络 管理 指南 (http://kubernetes.io/v1.0/docs/admin/networking.html) 


5.3 使 用 Vagrant 创 建 一 个 多 节点 的 Kubernetes 
集群 


5.3.1 问题 
你 想 开 始 用 Kubernetes， 并 希望 在 本 地 主机 上 通过 Vagrant 创建 一 个 小 型 Kubernetes 集群 。 


5.3.2 ”解决 方案 


你 需要 Vagrant (https://vagrantup.com) 和 VirtualBox (http://virtualbox.org)。 如 果 还 没有 
安装 ， 请 先 安 装 这 两 个 软件 。 然 后 设置 两 个 环境 变量 : KUBERNETES_PROVIDER (该 变量 表 
明 你 将 要 使 用 Vagrant) 和 NUM_MINIONS [该 变量 用 来 设置 集群 中 要 启动 的 节点 的 数量 ( 除 
master 节点 之 外 的 节点 数量 )] 。 


之 后 你 需要 使 用 由 Kubernetes 社区 提供 的 安装 脚本 (https://get.k8s.io)。 这 个 脚本 会 读 取 环 
并 变量 ， 检 查 你 的 操作 系统 ， 下 载 最 新 的 稳定 版 Kubernetes， 并 解压 缩 到 kubernetes 目录 
下 。 下 面 这 些 命令 就 是 在 命令 行 上 的 操作 步骤 。 

export KUBERNETES_PROVIDER=vagrant 


export NUM_MINIONS=2 
curl -SS https://get.k8s.io | bash 
















































































过 




















Kubernetes | 121 





pa NUM_MINIONS 环境 变量 ， 那 么 除了 master 节点 之 外 ， 只 有 一 


市 点 会 启动 。 


* 的 内 存 。 





将 要 下 载 的 Vagrant 镜像 大 约 316 MB， 初 始 化 虚拟 
com)， 这 都 需要 一 些 时 间 。 上 面 的 操作 完成 之 后 ， 这 些 


























你 就 可 以 在 标准 输出 中 看 到 类 似 下 本 


Kubernetes cluster is running. 


https://10.245.1.2 


i 的 结果 了 。 


每 个 由 Vagrant 启动 的 虚拟 机 都 需要 1 GB 的 内 存 ， 所 以 请 确保 你 拥有 足够 


机 使 用 了 SaltStack (http://saltstack. 
8 市 点 还 会 经 历 一 个 验证 过 程 ， 之 后 


The master is running at: 


The user name and password to use is Located in ~/.kubernetes vagrant_auth. 


. Calling validate-cluster 
Found 2 nodes. 
NAME LABELS 


STATUS 


1 10.245.1.3 kubernetes.io/hostname=10.245.1.3 Ready 
2 10.245.1.4 kubernetes.io/hostname=10.245.1.4 Ready 


Validate output: 


NAME STATUS 
etcd-0 Healthy 
controller-manager Healthy 
scheduler Healthy 


Cluster validation succeeded 


MESSAGE 


{"health": 


ok 
ok 


Done, listing cluster services: 


"true"} 


ERROR 
nil 
nil 
nil 


Kubernetes master is running at https://10.245.1.2 
KubeDNS is running at https://10.245.1.2/api/v1/proxy/namespaces/kube-system/ \ 


services/kube-dns 


KubeUI is running at https://10.245.1.2/api/v1i/proxy/namespaces/kube-system/ \ 


services/kube-ui 





vagrant status 命令 可 以 列 出 运行 中 的 虚拟 机 ， 如 下 所 示 。 


$ vagrant status 
Current machine states: 


master running (virtualbox) 
minion-1 running (virtualbox) 
minion-2 running (virtualbox) 


到 这 里 ， 你 就 在 本 地 虚拟 机 中 创建 了 一 个 可 以 正常 工作 的 Kubernetes 集群 了 。 
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5.3.3 讨论 
Vagrant 使 用 基于 Fedora 21 和 systemd 的 镜像 创建 了 该 集群 。 如 果 你 登录 到 这 些 虚 拟 机 ， 
可 以 列 出 正在 运行 中 的 systemd 单元 ，Kubernetes 系统 也 正 是 由 这 些 systemd 单元 构成 


你 


名 





o 














容器 之 间 的 网 络 是 由 Open vSwitch 创建 的 一 个 隧道 。 











在 master 节点 上 ， 你 会 看 到 有 两 个 服务 在 运行 : Addon 对 象 管理 器 和 kubelet。 而 kubelet 




















又 通过 Docker 启动 了 其 他 Kubernetes 服务 器 进程 ， 包 括 一 个 etcd 实例 、API server、 
controller manager 和 Scheduler。 








workstation$ vagrant ssh master 

Last login: Tue Aug 4 23:53:35 2015 from 10.0.2.2 

[vagrant@kubernetes-master ~]$ sudo systemctL list-units | grep kube 
kube-addons.service Loaded active running Kubernetes Addon Object Manager 
kubelet. service loaded active running Kubernetes Kubelet Server 
[vagrant@kubernetes-master ~]$ sudo docker ps | grep -e 'k8s_kube\|k8s etcd' | \ 
awk '{print $1 " " $2}' 

23963ff9ed00 gcr.io/google_containers/etcd:2.0.12 

be59784f7885 gcr.io/google_containers/kube-apiserver:f8f32e739d4797f77dc3f85c... 
ab3bea447298 gcr.io/google_containers/kube-scheduler:2c6e421dc8d78201f68d4cfa... 
f41749ff028d gcr.io/google containers/kube-controller-manager:4d46d90bb861fdd... 


在 minion 节点 上 ， 你 会 发 现 两 个 与 Kubernetes 相关 的 服务 : Kube-Proxy 服务 和 Kubelet 服 





务 。 当 然 ，Docker 也 在 运行 中 ， 如 下 所 示 。 





workstation$ vagrant ssh minion-1 
Last login: Tue Aug 4 23:52:47 2015 from 10.0.2.2 
[vagrant@kubernetes-minion-1 ~]$ sudo systemctL list-units kube* 


UNIT LOAD ”ACTIVE SUB DESCRIPTION 
kube-proxy.service Loaded active running Kubernetes Kube-Proxy Server 
kubelet. service loaded active running Kubernetes Kubelet Server 


使 用 本 机 上 的 kubectl.sh 脚本 与 集群 进行 交互 。 你 可 以 使 用 这 个 脚本 对 Kubernetes 上 的 所 
有 资源 进行 管理 ， 从 而 完成 容器 调度 任务 。 下 面 是 一 段 kubectt 的 帮助 信息 。 




















workstation$ ./cLuster/kubectL.sh 
kubectl controls the Kubernetes cluster manager. 


Find more information at https://github.com/GoogLeCLoudPLatform/kubernetes . 
Usage : 
kubectl [flags] 


kubectl [command] 


Available Commands: 


get Display one or many resources 

describe Show details of a specific resource or group of resources 

create Create a resource by filename or stdin 

replace Replace a resource by filename or stdin. 

patch Update field(s) of a resource by stdin. 

delete Delete a resource by filename, stdin, resource and name, 
or by resources and label selector. 

namespace SUPERCEDED: Set and view the current Kubernetes namespace 
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Logs Print the Logs for a container in a pod. 
rolling-update Perform a rolling update of the given ReplicationController. 


scale Set a new size for a Replication Controller. 

exec Execute a command in a container. 

port-forward Forward one or more local ports to a pod. 

proxy Run a proxy to the Kubernetes API server 

run Run a particular image on the cluster. 

stop Gracefully shut down a resource by name or filename. 

expose Take a replicated application and expose it as Kubernetes 
Service 

label Update the labels on a resource 

config config modifies kubeconfig files 


cluster-info Display cluster info 

api-versions Print available API versions. 

version Print the client and server version information. 
help Help about any command 


为 了 测试 是 否 能 够 与 在 master 市 点 上 运行 的 Kubernetes API server 进行 正常 通信 ， 你 可 以 
尝试 列 出 集群 中 的 节点 ， 如 下 所 示 。 


workstation$ ./cluster/kubectl.sh get nodes 

NAME LABELS STATUS 
10.245.1.3 kubernetes.io/hostname=10.245.1.3 Ready 
10.245.1.4 kubernetes.io/hostname=10.245.1.4 Ready 


可 以 通过 ./cluster/kube-down.sh 脚本 来 销毁 所 有 的 虚拟 机 实例 。 


现在 你 就 可 以 转 到 范例 5.4， 通 过 Kubernetes 创建 你 的 第 一 个 容器 了 。 


5.3.4 参考 


。 Vagrant 配置 文档 (http://kubernetes.io/v1.0/docs/getting-started-guides/vagrant.html) 
。 用 于 自动 创建 最 新 稳定 版 Kubernetes 集群 的 bash 脚本 (https://get.k8s.io) 


5.4 在 Kubernetes 集 群 上 通过 pod 启 动容 器 


5.4.1 问题 
你 已 经 知道 如 何 使 用 Docker 的 命令 行 工 具 来 局 动容 器。 现在 ， 你 想 使 用 Kubernetes 在 集 
群 中 进行 容器 调度 。 


5.4.2 ”解决 方案 


你 已 经 拥有 一 个 可 以 正常 工作 的 Kubernetes 集群 ， 不 管 这 个 集群 是 按照 范例 5.3 还 是 范例 
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5.9 创建 的 ， 或 者 是 在 公有 云 提供 商 上 运行 的 ， 比 如 Google 容器 引擎 之 上 上。 并且 你 已 经 
下 载 了 Kubernetes 客户 端 kubectL， 设 置 了 集群 正确 的 API 地 址 以 及 相应 的 身份 验证 信息 
(参见 范例 5.15)。 


范例 5.1 已 经 介绍 过 ， 容 器 是 以 pod 为 单位 进行 调度 的 。 因 此 ， 要 想 启动 你 的 第 一 个 容器 ， 
你 需要 创建 一 个 JSON 或 者 YAML 格式 的 pod 定义 文件 ， 然 后 通过 kubectt 客户 端 将 这 个 
文件 提交 到 Kubernetes API server。 
让 我 们 以 运行 2048 这 个 有 趣 的 游戏 为 例 来 进行 说 明 。 这 个 游戏 的 Docker 镜像 可 以 在 
Docker Hub (https://registry.hub.docker.com/u/cpk1224/docker-2048/) 上 找到 ， 你 也 可 以 看 
到 这 个 镜像 的 Dockerfile 内 容 。 将 下 面 的 YAML 文件 保存 为 2048.yaml。 
apiVersion: v1 
kind: Pod 
metadata: 
name: "2048" 
spec: 
containers: 
- image: cpk1224/docker-2048 
name: "2048" 
ports: 


- ContainerPort: 80 
hostPort: 80 


之 后 就 可 以 将 它 提交 到 集群 。 

$ kubectl create -f 2048.yaml 

pods/2048 
当 镜 像 下 载 完 成 之 后 ， 容 器 就 会 开始 运行 。 你 现在 就 可 以 在 浏览 器 上 打开 容器 所 在 主机 的 
IP 地 址 ， 玩 2048 这 个 游戏 了 。 如 果 有 防火 墙 ， 别 筷 了 在 防火 墙 上 设置 一 条 能 访问 该 游戏 
址 的 规则 。 


5.4.3 讨论 

pod 的 YAML 配置 文件 的 头 部 为 API 版 本 (比如 v1) 以 及 资源 类 型 (比如 pod)。 然 后 需 
要 设置 一 些 元 信息 来 指定 pod 名 称 。 本 例 中 只 局 动 了 一 个 容器 ， 实 际 上 你 也 可 以 局 动 多 个 
容器 。 所 有 的 容器 信息 都 需要 在 spec 下 面 的 container 部 分 进行 定义 。 容 器 使 用 的 镜像 以 
及 容器 的 名 称 都 是 必 填 信息 。 在 这 个 例子 中 ， 你 也 定义 了 一 个 需要 暴露 到 外 部 的 80 端口 ， 
并 且 将 它 映射 到 了 宿主 机 的 80 端口 上 (通过 containerPort 和 hostPort 选项 ) 。 


可 以 通过 kubectl get pods 命令 来 列 出 集群 中 正在 运行 中 的 pod。 这 里 你 会 看 到 该 pod 将 
会 进入 运行 状态 ， 看 到 pod 中 有 一 个 容器 ， 并 会 看 到 该 容器 的 镜像 和 状态 ， 如 下 所 示 。 


$ kubectl get pods 
































习 














POD IP CONTAINER(S) IMAGE(S) HOST ... 
podname 10.132.1.9 k8s-node/1.2.3.4 ... 
2048 cpk1224/docker-2048 ... 
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你 可 以 查询 pod 的 定义 ， 通 过 返回 的 YAML 或 者 JSON 格式 的 pod 定义 来 学 
习 API 规范 : 

$ ./kubectl get pods -o yaml 2048 

apiVersion: v1 

kind: Pod 

metadata: 


name: "2048" 
...<Snip> 


这 个 pod 通过 YAML 定义 文件 的 hostPort 属性 将 自己 的 80 端口 绑 定 到 了 
宿主 机 的 80 端口 上 。 在 调试 环境 下 这 非常 方便 ， 但 在 生产 环境 下 则 不 推荐 
这 么 做 ， 因 为 一 个 宿主 机 的 端口 只 能 绑 定 一 个 容器 。 为 了 更 灵活 地 将 pod 的 
端口 暴露 给 外 部 ， 请 使 用 范例 5.2 中 介绍 的 服务 。 








如 果 已 经 完成 了 测试 ， 就 可 以 轻松 地 删除 这 个 pod 了 ， 如 下 所 示 。 


$ kubectl delete pods podname 


5.5 利用 标签 查询 Kubernetes 对 象 


5.5.1 问题 


在 一 个 大 规模 Kubernetes 集群 中 ， 你 可 能 运行 着 数 千 个 pod 以 及 其 他 集群 对 象 。 你 想 通过 
标签 机 制 在 多 个 维度 上 对 这 些 对 象 集合 进行 查询 和 处 理 。 


5.5.2 ”解决 方案 


通过 使 用 标签 (label) 给 你 的 对 象 (比如 pod) 打上 标签 。 标 签 是 可 以 添加 到 任何 
Kubernetes 对 象 的 键 / 值 对 。 这 些 标签 主要 在 对 象 描述 文件 的 元 数据 部 分 中 进行 定义 。 


拿 范例 5.4 中 的 例子 来 说 ， 可 以 修改 pod 的 yaml 元 数据 描述 部 分 ， 增 加 一 个 foo=bar 的 标 
签 ， 如 下 所 示 。 


apiVersion: v1 
kind: Pod 
metadata: 
name: "2048" 
labels: 
foo: bar 
version: "47" 
spec: 
containers: 
- image: cpk1224/docker-2048 
name: "2048" 
ports: 
- ContainerPort: 80 
hostPort: 80 











A 
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现在 删除 已 有 的 名 为 2048 的 pod， 然 后 使 用 上 面 的 新 定义 文件 重新 创建 pod。 

进行 上 述 操作 后 ， 你 可 以 通过 kubectt 命令 的 --selector 参数 列 出 具有 指定 标签 的 所 有 pod。 
$ kubectl get pods --selector="foo=bar" 

此 外 ， 你 也 可 以 通过 kubectl label 命令 在 运行 时 进行 打 标 签 操 作 。 


$ kubectl label pods 2048 env=production 

POD IP CONTAINER(S) IMAGE(S) HOST ... 

2048 10.244.0.6 k8s-node/1.2.3.4 ... 
2048 cpk1224/docker -2048 











标签 需要 遵循 它 的 规范 语法 (https://github.com/GoogleCloudPlatform/kubernetes/ 
blob/master/docs/labels.md ) 。 





简 而 言 之 ,标签 是 一 个 简单 的 标记 系统 ， 允 许 用 户 在 集群 中 为 任何 资源 添加 元 数据 。 在 应 
用 生命 周期 的 各 个 阶段 ， 它 有 助 于 建立 跨 功 能 的 关系 来 管理 资源 集 。 


现在 ， 通 过 指定 标签 选择 器 来 删除 你 的 pod。 


$ kubectl.sh delete pod --selector="foo=bar" 
pods/2048 


5.5.3 ”参考 


。 标签 的 简介 、 优 点 和 语法 (http://kubernetes.io/v1.0/docs/user-guide/labels.html) 


5.6 使 用 replication controller 管 理 pod 的 副本 数 


























5.6.1 问题 
你 需要 确保 在 任何 时 候 集 群 中 都 有 指定 数量 的 pod 副本 在 运行 。 


5.6.2 ”解决 方案 

Kubernetes 是 一 个 声明 式 系统 : 用 户 定义 希望 这 个 系统 去 完成 什么 工作 ， 而 不 是 告诉 系统 
如 何 去 做 。 使 用 replication controller， 你 可 以 为 pod 指定 希望 的 副本 数 。 通 过 在 应 用 程序 
的 一 部 分 中 使 用 服务 代理 (参见 范例 5.8)， 这 有 助 于 提高 系统 的 负荷 强度 和 可 用 性 。 
replication controller 是 Kubernetes 集群 中 三 大 核心 对 象 之 一 (其 余 两 个 为 pod 和 service)。 
你 可 以 通过 kubectl 命令 列 出 所 有 运行 中 的 replication controller， 如 下 所 示 。 


$ kubectl get replicationcontrollers 




















$ kubectl get rc 
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要 想 创 建 一 个 replication controller， 需 要 先 编 写 JSON 或 是 YAML 格式 的 replication 
controller API 规范 文件 。 这 个 规范 文件 包含 元 数据 信息 、 你 希望 的 副本 个 数 、 一 个 用 于 标 
识 pod 的 选择 器 和 一 个 pod 模板 。 目 前 pod 模板 和 认 入 在 replication controller 的 定义 文件 中 ， 
但 在 将 来 的 Kubernetes 版 本 中 ， 这 可 能 会 发 生变 化 。 


比如 ， 你 想 要 为 范例 5.4 中 的 在 单个 pod 中 运行 的 2048 游戏 创建 一 个 replication controller， 
可 以 编写 如 下 的 rc2048.yaml 规范 文件 。 





apiVersion: v1 
kind: ReplicationController 
metadata: 
labels: 
name: rcgame 
name: rcgame 
spec: 
replicas: 1 
selector: 
name: game 
tempLate : 
metadata: 
labels: 
name: game 
spec: 
containers: 
- image: cpk1224/docker-2048 
name: test 
ports: 
- ContainerPort: 80 


replication controller 有 一 个 name=rcgame 的 标签 ， 而 pod 则 有 一 个 name=game ee 局 
动 之 后 ，replication controller 会 确保 任何 时 间 都 会 有 一 个 pod 处 于 运行 状态 。 你 可 以 通 
kubectl create 命令 创建 这 个 replication controller， 如 下 所 示 。 

$ kubectl create -f rc2048.yml 

replicationcontrollers/rcgame 

$ kubectl get rc 


CONTROLLER CONTAINER(S) IMAGE(S) SELECTOR REPLICAS 
rcgame test cpk1224/docker -2048 name=game 4 


你 可 以 试 着 终止 上 面 创建 的 pod， 然 后 会 发 现 ， 一 个 新 的 pod 又 自动 创建 了 。 

















并 不 需要 在 启动 replication controller 之 前 先 启 动 pod。 如 果 pod 不 存在 ， 
replication controller 会 自动 启动 一 个 能 匹配 到 定义 文件 中 所 设 定 标 签 的 pod。 
你 也 可 以 将 副本 数 设置 为 0。 





魔法 出 现在 当 你 ` 想 增加 副本 数 的 时 做。 你 可 以 使 用 kubectl resize 来 进行 此 操作 ， 相 应 的 
pod 个 数 也 会 自动 进行 调整 ， 如 下 所 示 。 


$ kubectl resize --replicas=4 rc rcgame 
resized 











5.6.3 讨论 

在 范例 5.1 中 我 们 提 到 过 ，Kubernetes 集群 中 的 每 个 节点 上 都 运行 着 一 个 kubelet。 这 个 进 
程 监视 被 调度 到 该 节点 上 的 pod， 并 确保 pod 持续 运行 。 但 是 如 果 节 点 宕 机 了 ， 会 怎么 样 
呢 ? Kubernetes 需要 一 种 机 制 来 自动 将 该 pod 重新 调度 到 其 他 节点 上 ， 并 保证 有 足够 的 副 
本 数 以 实现 高 可 用 性 。 这 正 是 replication controller 的 工作 内 容 。 

replication controller 不 仅 非常 有 助 于 保证 应 用 的 可 用 性 和 弹性 ， 在 遇 到 诸如 金 丝 兴 部署 
之 类 的 应 用 程序 部 署 场景 时 ， 也 是 一 个 非常 好 的 选择 。 实 际 上 ，Kubernetes 内 置 了 基于 
replication controller 的 滚动 升级 机 制 ， 这 也 很 值得 研究 ， 如 下 所 示 。 


$ ./kubectl rollingupdate -h 
Perform a rolling update of the given ReplicationController. 
































Replaces the specified controller with new controller, updating one pod at a time 
to use the new PodTemplate. The new-controller.json must specify the same 
namespace as the existing controller and overwrite at least one (common) label 

in its replicaSelector. 

...<Snip> 


5.6.4 参考 


。 replication controller 文档 (http://kubernetes.io/v1.0/docs/user-guide/replication-controller.htm!l) 


5.7 ”在 一 个 pod 中 运行 多 个 容器 


5.7.1 问题 


你 已 经 掌握 了 如 何在 一 个 pod 中 运行 一 个 容器 ， 但 是 你 想 在 同一 个 pod 中 运行 多 个 容器 。 
你 可 能 已 经 在 生产 环境 中 使 用 过 容器 ， 通 过 Docker 链接 机 制 来 链接 同一 台 主 机 上 的 容器 。 
现在 你 希望 在 Kubernetes 中 也 完成 同样 的 工作 。 


5.7.2 解决 方案 
一 个 pod 定义 并 不 限于 使 用 一 个 容器 。 你 可 以 根据 需求 定义 任意 数量 的 容器 和 卷 。 在 范例 
5.4 中 我 们 创建 了 一 个 pod 定义 ， 里 面具 有 一 个 容器 。 下 面 的 例子 将 使 用 Docker Hub 上 的 
WordPress 和 MYSQL 官方 镜像 启动 一 个 WordPress 服务 。 这 两 个 镜像 都 以 独立 的 容器 运 
行 ， 在 安装 时 通过 环境 变量 进行 配置 。WordPress 容器 通过 WORDPRESS_DB_HOST 环境 变量 
义 了 要 使 用 的 数据 库 主 机 ， 并 将 其 设置 为 127.0.0.1。 这 将 允许 WordPress 连接 到 同一 pod 
内 的 MySQL 数据 库容 器 。 这 之 所 以 能 正常 工作 ， 是 因为 pod 会 从 当前 的 Kubernetes 网 络 
模型 中 获取 唯一 的 IP 地 址 (参见 范例 5.2)。 创 建 如 下 的 wordpress.yaml 文件 。 
apiVersion: v1 
kind: Pod 


metadata: 
labels: 








SN 
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name: wp 
name: wp 
spec: 
containers: 
- Name: wordpress 
env: 


- Name: WORDPRESS_DB_NAME 


value: wordpress 


- Name: WORDPRESS_DB_USER 


value: wordpress 


- Name: WORDPRESS_DB_PASSWORD 
value: wordpresspwd 
- name: WORDPRESS_DB_HOST 


value: 127.0.0.1 
image: wordpress 
ports: 


- containerPort: 80 


hostPort: 80 
- name: mysql 
env: 


- name: MYSQL_ROOT_PASSWORD 
vaLue: wordpressdocker 
- Name: MYSQL_DATABASE 


value: wordpress 
- name: MYSQL_USER 
value: wordpress 


- name: MYSQL_PASSWORD 
value: wordpresspwd 


image: 
ports: 


mysql 


- ContainerPort: 3306 











创建 这 个 pod， 如 下 所 示 。 
$ kubectl create -f wordpress.yaml 

当 这 些 容器 启动 后 ， 你 将 得 到 一 个 安装 好 的 WordPress。 

可 以 使 用 kubect1 命令 查看 该 pod 中 容器 的 日 志 : 

$ kubectl Logs wp wordpress 

这 里 ，wp 是 启动 的 pod 名 称 ，wordpress 是 你 想 要 查看 日 志 的 容器 的 名 称 。 
5.7.3 讨论 
虽然 在 一 个 pod 中 启动 多 个 容器 很 简单 ， 但 是 ， 要 想 访问 在 这 个 pod 中 运行 的 应 用 ， 你 需 


要 使 用 Kubernetes service (http://kubernetes.io/v1.0/docs/user-guide/services.html)。 


每 个 


都 有 一 个 私有 网 络 的 人 地址 。 要 想 从 Kubernetes 集群 外 部 通过 公有 网 络 卫 来 访问 一 


用 程序 ， 
平衡 服务 。 


需要 创建 一 个 service 并 将 该 应 用 绑 定 到 一 个 公 网 卫 地 址 ， 或 者 使 用 She 








Google 容器 引擎 支持 在 描述 service 的 YAML 定义 文件 中 直接 使 用 一 个 外 部 负载 平衡 。 比 
如 ， 如 果 想 让 外 部 网 络 访问 在 本 范例 pod 中 运行 的 WordPress 应 用 ， 你 需要 创建 一 个 下 面 
这 样 的 sgoogle.yml 文件 。 


apiVersion: v1 
kind: Service 
metadata: 
labels: 
name: wordpress 
name: wordpress 
spec: 
createExternalLoadBalancer: true 
ports: 
- port: 80 
selector: 
name: wp 


service 也 有 自己 的 元 数据 信息 ， 但 是 更 重要 的 是 spec 部 分 的 选择 器 属性 。 在 前 面 的 例 
子 中 ，wp 选择 器 会 让 service 创建 一 个 proxy， 并 将 负载 平衡 的 卫 地 址 绑 定 到 能 匹配 到 
wp 标签 的 pod 上 。 如 果 知 道 负载 平衡 服务 的 IP 地址 ， 你 就 可 以 从 外 部 网 络 访问 这 个 服 
务 。Kubernetes service 会 将 访问 请 求 代理 到 该 pod 所 运行 的 节点 上 。 如 果 这 个 pod 是 通过 
replication controller 启动 的 ， 那 么 service 还 会 在 所 有 运行 的 pod 之 间 对 访问 请 求 进 行 负 载 
平衡 。 
如 果 负 载 平衡 系统 还 没有 得 到 Kubernetes 的 支持 ， 那 么 也 可 以 在 service 定义 文件 中 ， 手 
动 将 pod 绑 定 到 一 个 公 网 耳 地 址 ， 如 下 所 示 。( 这 里 的 1.2.3.4 需要 替换 为 实际 的 公 网 全 
地 址 。) 
apiVersion: v1 
kind: Service 
metadata: 
labels: 
name: wordpress 
name: wordpress 
spec: 
publLeEIPS [L234] 
ports: 
- port: 80 
selector: 
name: wp 


5.8 ”使 用 集群 IP 服 务 进行 动态 容器 链接 


5.8.1 问题 


你 想 将 集群 中 多 个 主机 上 的 容器 链接 到 一 起 ， 而 不 是 让 多 个 容器 在 一 个 pod 中 运行 。 这 也 
是 一 个 原生 云 应 用 的 设计 模式 ， 通 过 不 同 的 replication controller 来 运行 应 用 ， 应 用 的 各 层 
都 可 以 独自 进行 扩展 和 运 维 。 
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5.8.2 ”解决 方案 


在 范例 5.7 中 ， 你 启动 了 一 个 WordPress pod，pod 里 面 有 一 个 WordPress 容器 和 一 个 
MySQL 容器 。 这 两 个 容器 在 同一 个 主机 上 运行 。 你 利用 了 一 个 pod 只 能 有 一 个 了 P 地址 这 
一 特点 ， 将 WordPress MySQL 主机 设置 为 LocaLhost。 但 是 可 以 想象 一 下 ， 你 :正在 运行 局 
用 了 复制 功能 的 MySQL 服务 ， 或 者 WordPress 前 端 。 这 种 情况 下 ， 你 的 容器 可 能 在 集群 
中 的 不 同 主机 上 运行 。 


Kubernetes service 是 一 种 智能 代理 ， 它 会 监视 pod 在 集群 中 分 配 状态 的 变化 ， 如 果 pod 被 
重新 调度 了 ， 则 会 自动 更 新 这 些 pol 的 端口 映射 信息 。 


为 了 更 好 地 运行 这 一 典型 的 WordPress 例子 ， 我 们 可 以 让 MySQL 在 一 个 pod 或 者 


replication controller (要 注意 一 下 关于 数据 库 复 制 和 数据 持久 化 的 问题 ) 中 运行 ， 然 后 通 
过 Kubernetes service 定义 将 MySQL 服务 向 外 部 公开 。 
































replication controller 的 定义 如 下 所 示 。 


apiVersion: v1 
kind: ReplicationController 
metadata: 
name: wp-mysql 
spec: 
replicas: 1 
selector: 
tier: wp-mysql 
template: 
metadata: 
labels: 

tier: wp-mysql 

spec: 
containers: 
- Nname: mysql 

image: mysql 

ports: 

- ContainerPort: 3306 

env: 

- name: MYSQL_ROOT_PASSWORD 
vaLue: wordpressdocker 
name: MYSQL_DATABASE 
value: wordpress 
name: MYSQL_USER 
vaLue: wordpress 
name: MYSQL_PASSWORD 
vaLue: wordpresspwd 


一 个 MySQL service 可 以 定义 为 不 同 的 Kubernetes 对 象 类 型 。 它 也 可 以 通过 API 来 进行 管 
里 。 这 个 MySQL service 的 定义 如 下 所 示 。 


kind: Service 

apiVersion: v1 

metadata: 
name: mysql 














Dr 











spec: 


selector: 

tier: wp-mysql 
ports: 

- port: 3306 


注意 一 下 spec 部 分 的 selector 属性 。 这 个 选择 器 





签 的 pod。 这 个 service 将 会 创建 一 个 新 的 “集群 全 


将 会 匹配 到 所 有 有 具有 tier: wp-mysql 标 


”， 集 群 中 的 其 他 pod 都 可 以 访问 该 他 

















地 址 。 任 何 对 该 集群 卫 的 访问 都 会 被 负载 平衡 代理 


























可 以 像 下 面 这 样 查看 这 个 service 的 底层 服务 接 
$ kubectl describe services/mysql 
Name: mysql 
Namespace: default 
Labels: <none> 
Selector: tier=wp-mysql 
Type: CLusterIP 
IP : 10.0.175.152 
Port: <Unnamed> 3306/TCP 
Endpoints : 10.244.1.4:3306 
Session Affinity: None 
No events. 
如 果 你 正在 运行 





有 到 个 底层 服务 端点 。 


口 的 详细 信息 。 


(非常 推荐 ) 着 DNS 插件 (add-on)， 这 个 集群 IP 还 会 分 配 一 个 逻辑 名 


称 ， 其 他 客户 端 都 可 以 使 用 这 个 名 称 。 在 你 的 WordPress pod 配置 中 ， 也 可 以 使 用 这 个 逻 
辑 名 称 。 这 样 ， 不 管 该 全 是 什么 ， 这 个 pod 都 能 根据 这 个 逻辑 名 称 来 找到 数据 库 。 可 以 在 
环境 变量 WORDPRESS_DB_H0ST 中 看 到 这 个 值 ， 如 下 所 示 。 





apiVersion: v1 
kind: Pod 
metadata: 
Labels: 
tier: 
name: wp 
spec: 
containers: 
- env: 
name: WORDPRESS_DB_NAME 
value: wordpress 
name: WORDPRESS_DB_USER 
value: wordpress 
name: WORDPRESS_DB_PASSWORD 
value: wordpresspwd 
name: WORDPRESS_DB_HOST 
value: mysql 
image: wordpress 
name: wordpress 
ports: 
- ContainerPort: 80 
hostPort: 80 
protocol: TCP 


fe 


我 们 可 以 像 范例 5.7 那 样 将 WordPress 服务 发 布 到 公 网 ， 





这 


通过 另 一 种 类 型 为 
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LoadBalancer 的 service 来 实现 ， 如 下 所 示 。 


apiVersion: v1 
kind: Service 
metadata: 
name: wordpress 
spec: 
type: LoadBalancer 
ports: 
- port: 80 
selector: 
tier: fe 


5.8.3 讨论 

与 pod 和 replication controller 一 样 ，service 也 是 Kubernetes 中 的 关键 对 象 。service 提供 了 
基于 pod 的 抽象 ， 这 也 是 在 一 个 大 型 集群 系统 中 出 现 错误 时 自发 现 和 动态 调整 的 关键 组 
件 。 我 们 可 以 使 用 service 为 一 组 pod 分 配 一 个 固定 的 名 称 ， 之 后 可 以 通过 这 个 服务 名 称 来 
可 靠 地 访问 这 些 pod， 不 管 这 些 pod 被 调度 到 了 哪个 节点 上 。 


创建 一 个 service 将 会 为 其 分 配 一 个 新 的 独立 于 任何 pod 或 者 节点 的 集群 PP。 这 样 ， 客 户 
端 就 可 以 通过 固定 的 方式 访问 服务 ， 而 不 必 关 心服 务 的 实现 在 哪里 运行 。 当 调用 方 建立 
访问 service 的 连接 时 ， 在 该 节点 上 运行 的 本 地 Kubernetes proxy 会 处 理 这 一 请 求 。 这 个 
proxy 会 根据 service 定义 将 这 个 连接 转发 给 某 一 pod (通常 通过 一 个 标签 选择 器 ) 。 如 果 一 
个 service 后 面 有 多 个 pod 在 运行 ， 则 这 个 proxy 还 会 在 这 些 pod 之 间 进 行 负载 平衡 ， 参 见 
5-2。 
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5-2: 使 用 Kubernetes 集群 











调用 方 可 以 通过 两 种 方式 获得 service 的 卫 地址 : 环境 变量 或 者 DNS。 为 service 创建 的 环 
浇 变 量 与 Docker 容器 链接 中 的 变量 很 像 。 举 例 来 说 ， 你 有 一 个 名 为 redis 的 服务 ， 该 服务 
对 外 暴露 了 6379 端口 ， 则 其 环境 变量 如 下 所 示 。 
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REDIS_MASTER_SERVICE_HOST=10.0.0.11 
REDIS_MASTER_SERVICE_PORT=6379 
REDIS_MASTER_PORT=tcp://10.0.0.11:6379 
REDIS_MASTER_PORT_6379_TCP=tcp://10.0.0.11:6379 
REDIS_MASTER_PORT_6379_TCP_PROTO=tcp 
REDIS_MASTER_PORT_6379_TCP_PORT=6379 
REDIS_MASTER_PORT_6379_TCP_ADDR=10.0.0.11 


这 很 简单 ， 但 是 我 们 更 推荐 使 用 DNS 来 发 现 你 的 service。 在 将 Kubernetes 设置 为 支持 
DNS 时 ， 每 个 service 都 会 有 一 个 可 解析 的 名 称 。 在 这 个 例子 中 ， 假 设 默认 的 命名 空间 是 
defauLt， 然 后 DNS 的 根 域名 被 设置 为 cLuster.LocaL， 那 么 就 可 以 通过 redis.default. 
cluster.local 来 找到 该 服务 。 不 过 ， 如 果 要 访问 在 同一 个 命名 空间 中 运行 的 service， 也 
可 以 只 使 用 服务 名 : redis。 


5.8.4 参考 


。 Kubernetes 文档 中 的 WordPress 示例 (https://github.com/kubernetes/kubernetes/blob/release-1.0/ 
examples/mysql-wordpress-pd/README.md) 





。 Kubernetes service 文档 (http://kubernetes.io/v1.0/docs/user-guide/services.html) 


5.9 使 用 Docker Compose 创 建 一 个 单 节点 
Kubernetes 集 群 





5.9.1 问题 


你 已 经 掌握 了 如 何 通过 以 systemd 单元 的 方式 运行 集群 组 件 (比如 API server、scheduler 
和 kubelet) 来 创建 一 个 Kubernetes 集群 。 但 是 为 什么 不 利用 Docker 本 身 来 运行 这 些 组 
件 呢 ? 如 果 利 用 的 话 ， 这 将 会 简化 集群 的 部 署 。 为 了 测试 这 种 部 署 场景 ， 你 希望 在 本 地 
Docker 容器 中 运行 一 个 单 节 点 的 Kubernetes 集群 。 


5.9.2 解决 方案 


Kubernetes 文档 中 有 关于 这 种 应 用 场景 的 详细 说 明 (http://kubernetes.io/v1.0/docs/getting- 
started-guides/docker.html) 。 本 范例 将 会 更 进一步 ， 利 用 Docker Compose (参见 范例 7.1) 来 
完成 此 工作 。 在 开始 之 前 ， 你 需要 一 台 Docker 主机 ， 并 且 要 事先 安装 好 Docker Compose。 
你 可 以 克隆 随 本 书 附带 的 Git 仓库 ， 使 用 里 面 提供 的 Vagrantfile。 

$ git clone https://github.com/how2dock/docbook.git 


$ cd docbook/ch05/docker 
$ tree 



































| 一 Vagrantfile 


| 一 k8s.ymL 
[一 kubectl 
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这 个 Vagrantfile 文件 有 一 段 初 始 化 脚本 ， 这 个 脚本 会 在 虚拟 机 中 安装 Docker 和 Docker 
Compose。Kk8s.yml 是 docker-compose 的 配置 文件 ,定义 了 用 于 以 容器 的 方式 启动 
Kubernetes 所 需要 的 全 部 组 件 。 启 动 这 个 虚拟 机 ， 然 后 运行 docker-compose 命令 ， 就 会 下 
载 所 有 需要 的 镜像 ， 并 启动 这 些 容器 ， 如 下 所 示 。 

$ vagrant up 

$ vagrant ssh 


$ cd /vagrant 
$ docker-compose -f k8s.yml up -d 


$ docker ps 

CONTAINER ID IMAGE COMMAND 

64e0073615c5 gcr.io/google containers/... "/hyperkube controll 
9603f3b5b186 gcr.io/google containers/... "/hyperkube schedule 
3ce44e77989f gcr.io/google containers/... "/hyperkube apiserve 
1bobcbb56d59 kubernetes/pause:go "/pause" 
ObQc3e2735a9 kubernetes/etcd:2.0.5.1 "/usr/local/bin/etcd 
459c45ef9389 gcr.io/google containers/... "/hyperkube proxy -- 
QOS5cSacideQe gcr.io/google containers/... "/hyperkube kubelet 


这 就 是 全 部 的 工作 了 。 现 在 你 已 经 有 了 一 个 单 节 点 的 Kubernetes 集群 ， 它 所 有 的 组 件 
都 在 容器 中 运行 。get nodes 命令 会 返回 你 的 Locathost， 你 也 可 以 创建 pod、replication 
controller 和 service， 如 下 所 示 。 





$ ./kubectl get nodes 
NAME LABELS STATUS 
127.0.0.1 <none> Ready 


可 以 通过 创建 一 个 Nginx 容器 ， 来 测试 一 下 你 是 否 能 够 创建 新 pod， 如 下 所 示 。 


$ ./kubectl run-container nginx --image=nginx --port=80 
CONTROLLER CONTAINER(S) IMAGE(S) SELECTOR REPLICAS 
nginx nginx nginx run-container=nginx 1 





run-container 命令 会 自动 为 要 启动 的 容器 创建 一 个 replication controller。 你 
可 以 通过 ./kubectl get rc 命令 来 查看 replication controller 列表 。 





要 想 从 集群 外 部 访问 nginx 前 台 服 务 ， 需 要 将 nginx 暴露 为 一 个 service。 但 是 ， 在 创建 
service 时 ， 只 需要 将 虚拟 机 的 仅 主机 网 络 卫 地址 传 给 kubectt 命令 。 否 则 ， 创 建 该 服务 
之 后 ， 虽 然 新 局 动 的 pod 能 访问 到 该 服务 ， 但 是 我 们 将 无 法 从 群集 外 部 来 访问 它 ， 如 下 所 
示 。 

$ ./kubectl expose rc nginx --port=80 --public-ip=192.168.33.10 


NAME LABELS SELECTOR IP PORT 
nginx <none> run-container=nginx 10.0.0.98 80 


在 nginx 镜像 下 载 完 成 之 后 ， 你 就 能 通过 http://192.168.33.10 来 访问 pod 中 的 Nginx 欢迎 
页 面 了 ， 如 下 所 示 。 

















$ ./kubectl get pods 


POD IP CONTAINER(S) IMAGE(S) 

nginx-127 controller-manager gcr.io/google containers/... 
apiserver gcr.io/google containers/... 
scheduler gcr.io/google containers/... 

nginx-461yi 172.17.0.6 nginx nginx 


5.9.3 讨论 
Docker Compose 的 配置 文件 k8s.yml 显示 了 这 一 切 都 是 如 何 进行 的 。 





etcd : 
image: kubernetes/etcd:2.0.5.1 
net: "host" 


command: /usr/local/bin/etcd --addr=127.0.0.1:4001 --bind-addr=0.0.0.0:4001 \ 
--data-dir=/var/etcd/data 
master: 

image: gcr.io/google containers/hyperkube:v0O.14.1 

net: "host" 

volumes: 

- /var/run/docker.sock:/var/run/docker.sock 

command: /hyperkube kubelet --api_servers=http://localhost:8080 --v=2 \ 

--address=0.0.0.0 \ 
--enable_server --hostname_ override=127.0.0.1 \ 
--ConfiLg=/etc/kubernetes/manifests 


proxy: 
image: gcr.io/googLe_containers/hyperkube:v0.14.1 
net: "host" 


privileged: true 
command: /hyperkube proxy --master=http://127.0.0.1:8080 --v=2 





Compose 启动 了 三 个 容器 : 一 个 容器 运行 etcd， 一 个 容器 运行 Kubernetes 代理 服务 ， 还 有 
一 个 容器 运行 Kubernetes kubelet。 服 务 代 理 和 kubelet 都 来 源 于 同一 镜像 ， 并 且 使 用 了 同 
一 个 可 执行 程序 ， 通 过 命令 行 参数 来 区 分 。 这 个 可 执行 程序 为 hyperkube， 是 一 个 非常 好 
用 的 工具 类 程序 ， 你 可 以 用 这 个 命令 启动 Kubernetes 集群 中 的 所 有 组 件 。 

这 其 中 的 巧妙 之 处 是 ，master 容器 调用 hyperkube 时 指定 了 一 个 位 于 该 容器 镜像 中 /etc/ 
kubernetes/manifests 文件 夹 下 面 的 配置 文件 。 你 可 以 启动 一 个 临时 容器 查看 一 下 该 清单 文 
件 的 内 容 ， 如 下 所 示 。 


$ docker run --rm -it gcr.io/google containers/hyperkube:v0O.14.1 cat /etc/ \ 
kubernetes/manifests/master.json 





























{ 

"apiVersion": "vibeta3", 
"kind": "Pod", 

"metadata": {"name":"nginx"}, 
"spec" :{ 


"hostNetwork": true, 
"containers":[ 
{ 
"name": "controller-manager", 
"image": "gcr.io/google containers/hyperkube:v0.14.1", 
"command": [ 
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"/hyperkube", 


"controller-manager", 


"--master=127.0.0.1:8080", 
"--machines=127.0.0.1",， 


"--sync_nodes=true", 


"gcr.io/google containers/hyperkube:v0O.14.1", 


"gcr.io/google_ containers/hyperkube:vO.14.1", 


"v2" 
] 
]， 
芋 
"name": "apiserver", 
"image": 
"command": [ 
"/hyperkube", 
"apiserver", 
"--portal_net=10.0.0.1/24", 
"--address=127.0.0.1",， 
"--etcd_servers=http://127.0.0.1:4001", 
"--CLuster_name=kubernetes "， 
"vc2n 
] 
]， 
{ 
"name": "scheduler", 
"image": 
"command": [ 
"/hyperkube", 
"scheduler", 
"--master=127.0.0.1:8080", 
"v2" 
] 
} 
] 





这 个 清单 文件 会 发 送 给 kubelet，kubelet 会 启动 该 文件 所 定义 的 容器 。 在 这 个 例子 中 ， 它 
会 启动 Kubernetes 的 API server、scheduler 和 controller manager。 这 三 个 组 件 组 成 了 一 个 
Kubernetes pod， 它 们 自己 本 身 也 会 由 kubelet 负责 监控 。 实 际 上 ， 如 果 你 查询 正在 运行 中 


























的 pod， 将 会 得 到 如 下 结果 。 


$ ./kubectl get pods 


POD IP CONTAINER(S) 

nginx-127 controller-manager 
apiserver 
scheduler 


5.9.4 参考 




















IMAGE(S) 

gcr.io/google containers/hyperkube:v0O.14.1 
gcr.io/google containers/hyperkube:v0O.14.1 
gcr.io/google containers/hyperkube:v0O.14.1 


。 在 本 地 通过 Docker 运行 Kubernetes (http://kubernetes.io/v1.0/docs/getting-started-guides/ 





docker.html) 





5.10 编译 Kubernetes 构 建 自 己 的 发 布 版 本 


5.10.1 问题 
你 希望 从 源 代 码 构 建 Kubernetes 可 执行 程序 ， 而 不 是 下 载 官方 发 布 的 版 本 。 


5.10.2 解决 方案 


Kubernetes 采用 Go 语言 编写 ， 它 的 构建 系统 使 用 了 Docker， 所 有 的 构建 都 在 容器 中 进 
行 。 你 也 可 以 不 使 用 容器 ， 而 是 使 用 本 地 的 Go 环境 来 构建 Kubernetes， 但 是 采用 容器 构 
建 能 极 大 地 简化 环境 搭建 。 因 此 ， 要 想 构 建 Kubernetes 程序 ， 你 需要 安装 Go 语言 软件 包 、 
Docker 以 及 Git 来 从 GitHub 下 载 源 代码 。 比 如 在 Ubuntu 14.04 系统 上 ， 如 下 所 示 。 


$ sudo apt-get update 

$ sudo apt-get -y install golang 

$ sudo apt-get -y install git 

$ sudo curl -sSL https://get.docker.com/ | sudo sh 


确认 你 的 Go 和 Docker 已 经 成 功 安装 ， 如 下 所 示 。 


$ go version 

go version go1.2.1 Linux/amd64 
$ docker version 

Client version: 1.6.1 

Client API version: 1.18 

Go version (client): go1.4.2 
Git commit (client): 97cd073 
OS/Arch (client): Linux/amd64 
Server version: 1.6.1 

Server API version: 1.18 

Go version (server): go1.4.2 
Git commit (server): 97cd073 
0S/Arch (server): Linux/amd64 


克隆 Kubernetes 的 Git 仓库 以 获得 Go 源 代码 ， 如 下 所 示 。 


$ git clone https://github.com/GoogleCloudpPlatform/kubernetes.git 
$ cd kubernetes 


现在 就 可 以 进行 构建 了 。 在 /build 文件 夹 下 有 一 个 名 为 run.sh 的 构建 脚本 ， 直 接 使 用 这 个 
文件 即 可 。 脚 本 执行 时 会 询问 是 否 要 下 载 Golang 的 Docker 镜像 ， 然 后 开始 构建 。 以 下 构 
建 过 程 的 一 部 分 输出 片段 。 


$ ./build/run.sh hack/build-go.sh 

+++ [0513 11:51:46] Verifying Prerequisites.... 

You don’t have a local copy of the golang docker image. This image is 450MB . 
Download it now? [y/n] Y 

...<Snip> 

+++ [0513 11:58:08] Placing binaries 

+++ [0513 11:58:14] Running build command.... 

+++ [0513 11:58:16] Output directory is local. No need to copy results out. 
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构建 出 来 的 可 执行 文件 会 保存 在 _output 文件 夹 下 。 如 果 你 是 在 64 位 的 Linux 主机 上 进行 





的 构建 ， 那 么 构建 结果 会 保存 在 _output/dockerized/bin/linux/amd64 下 邱 








1， 如 下 所 示 。 





~/kubernetes/_output/dockerized/bin/Linux/amd64# tree 


| 六 e2e 
| 一 genbashcomp 


| 一 gendocs 


| 一 hyperkube 
| 一 integration 
| 一 kube-apiserver 

| 一 kube-controller-manager 
F 一 kubectl 

| 一 kubelet 

| 一 kube-proxy 

一 kubernetes 

| 一 kube-scheduLer 

-一 web-server 





5.10.3 ”讨论 





类 似 地 ， 你 也 可 以 完整 地 构建 一 个 发 布 制品 ， 这 些 制 品 以 一 个 压缩 包 kubernetes.tar.gz 的 形 























式 交 付 。 压 缩 包 里 面包 含 了 所 有 的 可 执行 程序 、 示 例 、 插 件 和 部 署 脚 本 。 创 建 这 个 发 布 包 
比 单纯 地 构建 可 执行 程序 要 花费 更 多 的 时 间 ， 所 有 端 到 端的 测试 都 会 被 执行 一 遍 。 为 了 构 

















建 一 个 完整 的 发 布 包 ， 执 行 下 面 的 命令 ， 并 在 /_output/release-tars/ 文件 夹 下 面 查看 发 布 包 























的 构建 结果 。 


$ ./build/release.sh 

$ tree _output/release-tars/ 
_output/release-tars/ 

| 一 kubernetes-client-darwin-386.tar.gz 
| 一 kubernetes-cLient-darwtn-amd64.tar.gz 
| 一 kubernetes-client-linux-386.tar.gz 
| 一 kubernetes-cLient-Linux-amd64.tar 

| 一 kubernetes-cLient-Linux-arm.tar.gz 
| 一 kubernetes-cLient-windows-amd64.tar.gz 
| 一 kubernetes-salt.tar.gz 

| 一 kubernetes-server-Linux-amd64.tar.gz 
| 一 kubernetes.tar.gz 

[一 kubernetes-test.tar.gz 





除了 压缩 包 之 外 ， 构 建 发 布 包 的 过 程 中 还 会 为 Kubernetes 集群 的 三 个 主要 组 件 创建 三 个 镜 


像 : API server、controller 和 scheduler， 如 下 所 示 。 


# docker images 

REPOSITORY 
gcr.io/google_containers/kube-controller-manager 
gcr.io/google_containers/kube-scheduler 

gcr .io/google_containers/kube-apiserver 





发 布 包 中 有 一 个 Dockerfile 文件 ， 由 这 个 Dockerfile 文件 构建 的 镜像 里 面包 
含 hyperkube 可 执行 程序 。 这 个 程序 可 以 用 来 启动 Kubernetes 集群 中 的 所 
有 组 件 。 在 范例 5.9 中 ， 我 们 使 用 这 个 程序 在 一 个 单 节 点 上 通过 Docker 容 
器 创建 了 一 个 Kubernetes 集群 。 你 可 以 使 用 这 个 Dockerfile 去 构建 自己 的 
Hyperkube 镜像 ， 并 根据 自己 的 需求 来 编辑 配置 文件 master.json， 如 下 所 示 。 
$ tree kubernetes/cluster/images/hyperkube/ 
kubernetes/cluster/images/hyperkube/ 
| 一 Dockerfile 
| 一 Makefile 


| 一 master.json 
[一 master-multi.json 





















































5.10.4 参考 


。 构建 Kubernetes 程序 的 README 文件 (https://github.com/kubernetes/kubernetes/blob/ 
masterbuild/README.md) 

。 使 用 godep 的 开发 环境 (https://github.com/kubernetes/kubernetes/blob/master/docs/devel/ 
development.md) 


5.11 使 用 hyperkube 二 进 制 文件 启动 
Kubernetes 组 件 


5.11.1 问题 


一 个 Kubernetes 集群 由 一 个 master 节点 和 多 个 worker 节点 构成 。 每 个 节点 都 运行 着 若干 
Kubernetes 可 执行 程序 。 为 了 方便 开发 ， 你 希望 只 使 用 一 个 可 执行 程序 ， 将 你 想 要 启动 的 
组 件 通 过 命令 行 参 数 的 形式 传递 给 该 命令 。 


5.11.2 解决 方案 
使 用 hyperkube。 


如 范例 5.10 的 提示 部 分 所 述 ， 一 个 发 布 包 包 括 了 所 有 的 Kubernetes 组 件 的 可 执行 程序 : 
API server、controller manager、scheduler、 服 务 代 理 以 及 kubelet。 后 面 两 个 程序 会 在 每 个 
worker 节点 上 运行 ， 而 前 三 个 组 件 再 加 上 etcd 则 构成 了 Kubernetes master。hyperkube 是 
一 个 可 执行 文件 ， 你 可 以 用 这 个 命令 来 局 动 所 有 这 些 Kubernetes 组 件 。 


如 果 你 已 经 按照 范例 5.10 中 介绍 的 那样 构建 了 自己 的 发 布 包 ， 你 可 以 在 _output/ 文件 夹 下 
面 找 到 hyperkube 文件 ， 如 下 所 示 。 
# tree ~/kubernetes/_output/reLease-tars/kubernetes/server/kubernetes/server/bin 


/root/kubernetes/_output/reLease-tars/kubernetes/server/kubernetes/server/bin 
| 一 hyperkube 
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| 一 kube-apiserver 

| 一 kube-apiserver.docker_tag 
| 一 kube-apiserver .tar 
kube-controller-manager 
kube-controller-manager .docker_tag 
kube-controller-manager .tar 
kubectl\ 

kubelet 

kube-proxy 

kubernetes 

kube-scheduler 
kube-scheduler .docker_tag 
kube-scheduler .tar 


使 用 hyperkube 时 ， 需 要 指定 想 要 启动 的 组 件 (比如 apiserver、controller-manager、 

scheduler 、kubelet 或 者 proxy)。 在 指定 组 件 名 参数 之 后 ， 你 可 以 指定 其 他 所 有 需要 设置 

的 参数 。 比 如 ， 要 想 启 动 API server， 你 可 以 像 下面 这 样 ， 查 看 hyperkube 命令 的 使 用 方法 。 
$ ./hyperkube apiserver -h 


The main API entrypoint and interface to the storage system. The API server is 
also the focal point for all authorization decisions. 





A A 





Usage: 
apiserver [flags] 


Available Flags: 
--address=127.0.0.1: DEPRECATED: see --insecure-bind-address instead 
--admission-control="AlwaysAdmit": Ordered list of plug-ins to do ... 
--admission-control-config-file="": File with admission control ... 
--allow-privileged=false: If true, allow privileged containers. 
<snip> 


5.12 浏览 Kubernetes API 


5.12.1 问题 


Kubernetes 提供 了 一 套 REST API， 你 需要 学 习 这 些 API 以 便 对 集群 进行 管理 ， 并 在 集群 
中 运行 应 用 程序 。 


5.12.2 ”解决 方案 


Kubernetes 提供 了 一 个 带 版 本 号 的 API。 在 使 用 v1 版 本 的 API 时 ， 用 户 希 望 针 对 该 版 本 不 
会 有 不 兼容 的 变化 。API server 同时 支持 多 个 版 本 的 API， 不 过 大 多 数 用 户 应 该 使 用 v1 版 
的 API。 


如 范例 5.9 中 所 讲 到 的 ， 你 可 以 在 本 地 通过 Docker 启动 一 个 Kubernetes 集群 。 这 是 体验 
Kubernetes 最 简单 的 方式 。 所 有 组 件 都 启动 之 后 ， 你 就 可 以 访问 API server 提供 的 API 了 。 
ee API server 的 计算 机 ， 可 以 通过 http:Wlocalhost:8080 来 访问 API， 而 

不 需要 任何 身份 验证 。 你 可 以 使 用 curl 来 完成 第 一 次 Kubernetes 原生 API 体验 。 可 以 























通过 访问 http://localhost:8080/api 来 列 出 目前 支持 的 所 有 API 版 本 ， 如 下 所 示 。 


$ curl http://LocaLhost:8080/api 
{ 
"versions": [ 
"v1", 
] 
} 


从 上 面 的 返回 结果 可 以 看 到 ， 这 个 服务 器 只 提供 了 vl 版 本 的 API。 如 果 你 的 输出 中 是 类 
似 vlbeta3 的 内 容 ， 那 么 说 明 你 运行 的 是 老 版 本 的 Kubernetes。 如 果 你 看 到 的 结果 类 似 
v2betal， 说 明 你 正在 使 用 的 是 开发 体验 版 。 为 了 确认 你 正在 使 用 的 API 版 本 号 ， 可 以 运 
行 curl 来 访问 http://localhost:8080/version。 需 要 注意 的 是 ，API 的 版 本 与 可 执行 文件 的 版 
本 号 不 需要 统一 ， 如 下 所 示 。 


curl http://LocaLhost:8080/version 









































| 


“maior Se 

"minor": "0", 

"gitVersion": "v1.0.1", 

"gitCommit": "6aS5cO6e3d1ieb27a6310a09270e4a5fb1afa93e74"， 
"gitTreeState": "clean" 


} 


上 面 的 输出 告诉 你 ， 在 这 个 例子 中 ， 你 所 使 用 的 是 官方 的 1.0.1 版 本 的 Kubernetes。 这 只 是 
关于 API 最 基本 的 信息 ， 没 有 给 出 完整 的 API 视图 。 不 过 值得 庆幸 的 是 ，Kubernetes API 
文档 使 用 了 Swagger (http://swagger.io)。 这 就 是 说 ， 我 们 可 以 通过 /swaggerapi/ 接口 来 得 
到 所 有 可 用 的 API 接口 列表 ， 如 下 所 示 。 


$ curl http://localhost:8080/swaggerapi/ 
{ 


"swaggerVersion": "1.2"， 
"apis": [ 



































"path": "/api/vi", 

"description": "API at /api/v1 version v1" 

{ 

"path": "/api", 

"description": "get available API versions" 

}， 

{ 

"path": "/version", 

"description": "git code version from which this is built" 
} 
]， 
"apiVersion": 
"info": { 
"title" ss", 
"description": 


} 


nn 
2 
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之 后 可 以 通过 curl 命令 来 获得 每 个 API 的 详细 JSON 规范 ， 如 下 所 示 。 
$ curl http://localhost:8080/swaggerapi/api/v1 
如 果 你 想 编写 自己 的 Kubernetes 客户 端 ， 这 会 非常 有 用 。 但 是 ，Swagger 同时 提供 了 一 


个 Web 界面 以 便于 查看 这 些 API。 假 设 你 能 从 浏览 器 访问 API server， 在 浏览 器 中 打开 
http://<KUBE_MASTER_IP>:8080/swagger-ui/， 就 应 该 能 看 到 类 似 图 5-3 的 Swagger 界面 。 








explore 

api : get available API versions Show/Hide | List Operations | Expand Operations 
api/v1 : API at /api/v1 version v1 Show/Hide ， List Operations | Expand Operations 
| posr | /api/v1/namespaces/{fnamespacejMbindings createa Binding 
| posr | /api/v1/bindings create a Binding 
/api/v1/namespaces/{fnamespacej/componentstatuses list objects of kind ComponentStatus 
/api/v1/namespaces/{fnamespacej/componentstatuses/fname} read the specified ComponentStatus 
/api/v1/componentstatuses list objects of kind ComponentStatus 
/api/v1/namespaces/{namespacej/endpoints list or watch objects of kind Endpoints 
| posr | /api/v1/namespaces/{namespacej/endpoints createa Endpoints 
/api/v1/watch/namespaces/{fnamespacejMendpoints watch individual changes to a list of Endpoints 
/api/vi/namespaces/{Nnamespace}/endpoints/{name} delete a Endpoints 











图 5-3: 通过 Swagger UI 查看 Kubernetes API 


5.12.3; -讨论 
通过 Swagger 和 curl 浏览 Kubernetes API 非常 利于 你 更 好 地 理解 Kubernetes， 包 括 用 于 定 
义 pod、replication controller 和 service 的 架构 。 但 是 更 多 地 去 尝试 使 用 kubectl 客户 端 更 
加 实用 ， 每 个 发 布 版 本 都 会 有 这 个 程序 。 而 且 它 的 使 用 方法 也 都 有 良好 的 文档 进行 说 明 ， 
这 个 程序 也 使 用 了 很 多 Kubernetes API， 如 下 所 示 。 

$ ./kubectl 


kubectl controls the Kubernetes cluster manager. 


Find more information at https://github.com/GoogleCloudplatform/kubernetes. 
Usage: 

kubectl [flags] 

kubectl [command] 


Available Commands: 


get Display one or many resources 

describe Show details of a specific resource or group of resources 
create Create a resource by filename or stdin 

replace Replace a resource by filename or stdin. 

patch Update field(s) of a resource by stdin. 
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delete Delete a resource by filename, stdin, resource and name, 
namespace SUPERCEDED: Set and view the current Kubernetes namespace 
logs Print the logs for a container in a pod. 


rolling-update 


Perform a rolling update of the given ReplicationController. 


scale Set a new size for a Replication Controller. 

exec Execute a command in a container. 

port-forward Forward one or more local ports to a pod. 

proxy Run a proxy to the Kubernetes API server 

run Run a particular image on the cluster. 

stop Gracefully shut down a resource by name or filename. 

expose Take a replicated application and expose it as Kubernetes 
Service 

label Update the labels on a resource 

config config modifies kubeconfig files 


cluster-info 
api-versions 


Display cluster info 
Print available API versions. 


version Print the client and server version information. 
help Help about any command 
<snip> 





在 浏览 Kubernetes API 时 ， 你 可 能 会 体验 到 一 些 比较 有 趣 的 接口 ， 比 如 / 


ping/ 和 /validate: 


$ curl http://localhost:8080/ping/ 


{ 
"paths": [ 


"/api", 
"/api/v1", 
"/healthz", 
"/healthz/ping", 
"/logs/", 
"/metrics", 
"/resetMetrics", 
"/swagger -ui/", 
"/swaggerapi/", 
"/uiy", 


"/version" 


5.12.4 参考 


。 Kubernetes API 文档 (http://kubernetes.io/v1.0/docs/api.html) 
。 访问 Kubernetes API (http://kubernetes.io/v1.0/docs/admin/accessing-the-api.html) 
。 Kubernetes API 约定 (http://kubernetes.io/v1.0/docs/devel/api-conventions.htm!l) 
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5.13 ”运行 Kubernetes 仪 表盘 


5.13.1 问题 
你 想 对 你 的 Kubernetes 集群 进行 可 视 化 ， 以 深入 了 解 正在 运行 的 各 个 实体 (包括 pod、 


service 和 replication controller) 。 


5.13.2 ”解决 方案 


从 Kubernetes 0.16 开始 ，API server 自 带 了 一 个 Web 用 户 界面 。 因 此 ， 如 果 你 能 让 API 
server 在 一 个 可 以 通过 训 览 器 访问 到 的 地 址 上 运行 ， 就 可 以 直接 通过 /static/app 来 访问 这 
个 Web UI。 


举例 来 说 ， 虽 然 这 种 方式 不 是 很 安全 ， 你 可 以 通过 http://<KUBE_MASTER_IP>: 8080/ 
static/app 来 访问 Web UI。 图 5-4 是 一 个 屏幕 截图 。 














Kubernetes 


DASHBOARD 





Kubernetes 


Group by: type v 


Type: pod 


(ee) Pods 


k8s-master-127.0.0.1 v nginx-05tb9 v nginx-ir7qs v nginx-ltbsg v nginx-olxqr v nginx-unhn1 v 


Type: replicationController 


[] ReplicationControllers 


nginx v 


Type: service 


二 Services 


kubernetes v kubernetes-ro v 











图 5-4: Kubernetes 仪表 盘 


现在 ， 你 只 能 通过 这 个 Web UI 来 进行 一 些 查 看 操作 ， 还 不 能 对 pod、service 或 者 
replication controller 进行 管理 。 不 久 的 将 来 ， 这 也 应 该 会 有 所 变化 。 








5.13.8” ”讨论 

现在 ， 来自 Kismatic (https://kismatic.io) 团队 的 成 员 正 在 对 Kubernetes 仪表 盘 功 能 进行 活 
跃 的 开发 ， 除 了 查看 视图 可 能 会 频繁 变更 之 外 ， 用 来 通过 Web UI 对 Kubernetes 组 件 进 行 
管理 的 新 功能 也 会 不 断 添加 进来 。 

Kubemetes 仪表 盘 的 源 代码 (https://github.com/GoogleCloudPlatform/kubernetes/tree/master/www) 
里 面 有 关于 如 何 配 置 开发 环境 的 详细 文档 。 你 也 可 以 编写 自己 的 可 视 化 组 件 (https:// 
github.com/GoogleCloudPlatform/kubernetes/blob/master/www/master/components/README. 
md)， 这 在 Kubernetes Web UI 中 被 称 为 组 件 。 


5.14 升级 老 版 本 API 


5.14.1 问题 


你 正在 使 用 v1 版 本 的 API， 但 是 你 已 有 的 配置 文件 可 能 使 用 了 较 老 的 beta 版 本 的 API。 你 
需要 一 个 工具 来 帮助 你 对 所 有 配置 文件 进行 升级 。 


5.14.2 ”解决 方案 


本 范例 只 是 为 了 辅助 开发 人 员 。 它 可 能 会 被 废弃 ， 不 应 该 在 生产 环境 下 使 
用 。 这 个 工具 只 用 于 v1 版 本 API 的 开发 ， 并 不 保证 在 老 版 本 的 代码 中 也 能 
正常 工作 。 






































使 用 kube-version-change 命令 ， 这 是 用 Golang 编写 的 程序 。 可 以 在 源 代码 的 /cmd/ 文件 
夹 下 找到 这 个 程序 。 
假设 你 是 按照 范例 5.10 来 操作 的 ， 那 么 你 已 经 为 本 次 测试 做 好 了 准备 。 如 果 还 没有 从 源 代 
码 构 建 Kubernetes， 那 么 你 需要 现在 就 从 源 代码 构建 Kubernetes (参见 范例 5.10)。 
在 从 GitHub 下 载 下 来 的 Kubernetes 源 代码 的 根 文件 夹 下 ， 执 行 下 面 的 命令 。 

$ hack/build-go.sh cmd/kube-version-change 
这 将 会 使 用 你 本 地 的 Golang 构建 kube-version-change 程序 ， 构 建 结 果 将 会 保存 在 /_ 


output/local/bin/ 文件 夹 下 。 在 64 位 的 Linux 计算 机 上 ， 这 个 程序 会 被 保存 到 _output/ 
dockerized/bin/linux/amd64/kube-version-change 下 。 











5.14.3 ”讨论 


当 版 本 变更 工具 编译 完成 之 后 ， 就 可 以 将 你 的 配置 文件 迁移 到 新 版 的 API 了 。 假 设 你 有 一 
个 MySQL 的 pod 定义 文件 (mysqlLyaml) ， 这 个 配置 文件 使 用 的 是 版 本 为 vibeta2 的 API 
规范 ， 文 件 内 容 如 下 所 示 。 
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apiVersion: vibeta2 
desiredState: 
manifest: 
containers: 
- Nname: mysql 

image: mysql 

env: 

- name: MYSQL_ROOT_PASSWORD 
value: password 

ports: 

- ContainerPort: 3306 
name: mysql 
protocol: TCP 

id: mysql 
kind: Pod 
labels: 

name: mysql 


将 版 本 修改 为 v1。 


$ ./kube-version-change -i mysql.yaml -o mysql3.yaml 


这 条 命令 会 创建 一 个 名 为 mysql3.yaml 的 pod 定义 文件 ， 并 使 用 了 vibeta3 API 规范 定义 了 
pod， 如 下 所 示 。 


apiVersion: vibeta3 
kind: Pod 
metadata: 
creationTimestamp: null 
Labels: 
name: mysql 
name: mysql 
spec: 
containers: 
- capabilities: {} 
env: 
- name: MYSQL_ROOT_PASSWORD 
value: password 
image: mysql 
imagePullPolicy: IfNotPresent 
name: mysql 
ports: 
- ContainerpPort: 3306 
name: mysql 
protocol: TCP 
resources: {} 
securityContext: 
capabilities: {} 
privileged: false 
terminationMessagePath: /dev/termination-log 
dnsPolicy: ClusterFirst 
restartPolicy: Always 
serviceAccount: "" 
volumes: null 
status: {} 








大 


148 | 第 5 章 


你 也 可 以 将 API 版 本 从 vlbeta3 迁移 到 之 前 的 老 版 本 。 这 可 以 很 方便 地 帮助 
我 们 理解 规范 。 尝 试 下 面 的 命令 。 


$ ./kube-version-change -i mysql3.yaml -o mysql2.yaml -v vibeta2 


5.15 ”为 Kubernetes 集 群 添加 身份 验证 支持 


5.15.1 问题 


你 想 创建 一 个 具备 身份 验证 和 授权 功能 的 Kubernetes 和 集群。 这样， 用 户 就 能 通过 
Kubernetes 客户 端 (比如 kubectL) 以 一 种 安全 的 方式 对 集群 进行 管理 


5.15.2 解决 方案 


启动 API server 时 ， 指 定 如 下 选项 之 一 : --token_auth_file、--basic auth_file 或 者 
--client_ca_file。 你 也 需要 确保 没有 将 API server 绑 定 到 一 个 不 安全 的 公 网 IP 地址 上 。 

默认 情况 下 ，Kubernetes API server 会 在 6443 端口 上 启用 HTTPS 监听 ， 并 使 用 一 个 自 签 
名 的 证 书 。 也 可 以 通过 --tls-cert-file 和 --tls-private-key-file 选项 指定 自己 的 证 书 


























o 








o 





出 于 测试 或 者 学 习 的 目的 ， 你 可 能 会 使 用 --insecure-bind-address=0.0.0.0 
参数 启动 API server， 这 会 以 被 称 为 localhost port 的 方式 绑 定 到 所 有 的 网 络 
接口 上 ， 包 括 Kubernetes master 节点 的 公 网 IP。 这 非常 方便 ， 你 可 以 直接 通 
过 http://<KUBE_MASTER_IP>:8080， 不 经 过 身份 验证 就 能 访问 到 你 的 集群 ， 
但 这 样 做 一 点 都 不 安全 。 























默认 情况 下 ，Kubernetes 会 将 7080 端口 的 只 读 访 问 绑 定 到 所 有 网 络 接口 上 。 
如 果 你 的 防火 墙 对 外 开放 了 7080 端口 ， 则 整个 集群 都 可 以 从 外 部 公开 访问 。 
但 是 ， 这 一 机 制 应 该 在 Kubernetes v1.0 之 前 有 所 改变 。 














5.15.3 讨论 

基本 身份 验证 和 基于 令 牌 的 身份 验证 所 使 用 的 文件 格式 都 是 非常 简单 的 CSV 文件 。 关 于 身份 
验证 的 相关 文档 (https://github.com/GoogleCloudPlatform/kubernetes/blob/master/docs/authentication. 
md) 也 指向 了 相关 代码 (https://github.com/kubernetes/kubernetes/tree/master/plugin/pkg/auth/ 
authenticator) 的 位 置 。 密 切 关注 这 些 身份 验证 插件 非常 有 用 ， 因 为 这 些 身份 验证 机 制 有 可 
能 会 废弃 或 者 发 生变 化 。 目 前 ， 令 有 牌 过 期 和 密码 重 置 等 功能 都 还 没有 实现 。 

比如 ， 你 可 以 创建 如 下 的 基本 身份 验证 文件 并 保存 到 /tmp/auth 文件 夹 下 ， 文件 内 容 遵循 


password,username,useruid 的 格式 。 











foobar ,admin ,1000 
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通过 hyperkube 启动 API server (参见 范例 5.11) ， 并 指定 如 下 选项 。 


$ hyperkube apiserver --portaL_net=10.0.0.1/24 
--etcd_servers=http://127.0.0.1:4001 
--CLuster_name=kubernetes 
--basic_auth_fiLLe=/tmp/auth 
--V=2 
这 会 使 用 一 些 默 认 的 参数 设置 。HTTPS 将 会 监听 6443 端口 ， 只 读 访 问 将 会 被 绑 定 到 7080 
端口 ， 而 本 地 使 用 的 端口 只 会 被 绑 定 到 localhost 上 。 如 果 你 的 防火 墙 没 有 打开 7080 端口 ， 
则 你 的 Kubernetes 集群 将 只 能 使 用 HTTPS 进行 基本 身份 验证 。 


基本 身份 验证 将 来 会 被 上 废弃， 取而代之 的 是 基于 令 牌 或 者 客户 端 证 书 的 身份 
验证 机 制 。 目 前 提供 基本 身份 验证 功能 只 是 为 了 方便 而 已 。 只 读 访 问 模 式 在 
将 来 的 版 本 中 也 将 会 被 移 除 。 

















5.15.4 参考 


。 安全 地 访问 API server (https://github.com/GoogleCloudPlatform/kubernetes/blob/master/docs/ 
accessing_the_api.md) 

。 访问 Kubernetes 集群 (https://github.com/GoogleCloudPlatform/kubernetes/blob/master/docs/ 
accessing-the-cluster.md) 

。 Kubernetes 身份 验证 插件 (https:Wgithub.com/GoogleCloudPlatform/kubernetes/blob/master/ 
docs/authentication.md ) 

。 Kubernetes 身份 验证 功能 路 线 图 (https://github.com/GoogleCloudPlatform/kubernetes/blob/ 
masterdocs/authorization.md) 


5.16 配置 Kubernetes 客 户 端 连 接 到 远程 集群 


5.16.1 问题 


你 通过 一 种 身份 验证 机 制 将 API server 安全 地 对 外 公开 ， 和 希望 你 的 用 户 能 使 用 某 一 客户 端 
(比如 kubectL) 从 远程 访问 这 个 集群 。 


5.16.2 ”解决 方案 


使 用 kubectl 配置 创建 多 个 上 下 文 环境 来 访问 你 的 集群 。 在 每 个 上 下 文 环境 中 ， 指 定 集 群 
API 接口 地 址 和 用 户 身份 验证 信息 。 


实际 上 ， 默 认 情况 下 kubectl 会 连接 到 localhost 上 的 API server。 但 是 你 可 以 定义 多 个 接口 
地 址 (比如 在 不 同 的 地 区 有 多 个 集群 的 时 候 就 很 有 用 ) 和 多 个 用 户 属性 (比如 production、 
development 和 service) ， 它 们 可 以 有 不 同 的 身份 验证 策略 。 第 一 次 安装 kubectL 上 时， 这些 配 
置 都 是 空 的 。 你 可 以 通过 运行 kubectl config view 命令 来 查看 当前 的 配置 ， 如 下 所 示 。 











A 
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$ ./kubectl config view 
apiVersion: v1 
clusters: [] 
contexts: [] 
current-context: 
kind: Config 
preferences: {} 
users: [] 


你 可 以 用 多 个 选项 来 定义 一 个 集群 、 一 个 上 下 文 环境 以 及 一 些 用 户 身 份 验 证 信息 。 下 面 
是 一 个 例子 ， 这 里 定义 了 一 个 名 为 k 的 集群 ， 使 用 了 HTTPS 的 接口 地 址 ， 并 使 用 了 自 
签名 的 证 书 ， 之 后 又 创建 了 一 个 上 下 文 环境 kcon， 它 使 用 了 集群 k 和 用 户 superadmin。 
superadmin 用 户 的 身份 验证 信息 已 经 在 范例 5.15 中 创建 。 在 这 个 例子 的 最 后 ， 你 通过 use- 
context 命令 设置 了 当前 的 上 下 文 环境 。 这 些 设置 完成 之 后 ， 再 次 使 用 kubectl 命令 时 ， 它 
能 够 正确 地 拼接 出 HITP 请 求 ， 并 安全 地 通过 身份 验证 来 访问 远程 的 Kubernetes 集群 ， 如 
下 所 示 。 

$ ./kubectl config set-cluster k --server=https://<KUBE_MASTER_PUBLIC_IP>:6443 \ 

--insecure-skip-tls-verify=true 

./kubectl config set-context kcon --user=superadmin 
./kubectl config set-context kcon —-cluster=k 


./kubectl config set-credentials superadmin --username=admin --password=foobar 
./kubectl config use-context kcon 




















J A 


5.16.3 讨论 


虽然 kubectt 客户 端 功能 强大 ， 但 是 应 该 记 住 ， 你 也 可 以 编写 自己 的 客户 端 ， 因 为 客户 端 
发 出 的 也 都 是 标准 的 HITP 请 求 。 举 例 来 说 ， 你 可 以 通过 curl 来 发 起 一 个 身份 验证 请 求 。 


$ curl -k -u toto:foobar https://<KUBE_MASTER_PUBLIC_IP>:6443/api 








{ 
"versions": [ 
"vd1n 
] 
} 
5.16.4 ”参考 


。 Kubernetes 客户 端 库 (https://github.com/GoogleCloudPlatform/kubernetes/blob/master/docs/ 
client-libraries.md) 
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第 6 章 


为 D0cker 优 化 的 操作 系统 





6.0 简介 


在 第 1 章 中 ， 我 们 讨论 了 一 些 安装 场景 ， 主 要 展示 了 如 何在 传统 的 操作 系统 上 安装 
Docker。 本 章 将 讲述 专门 针对 Docker 进行 过 优化 的 新 一 代 操 作 系统 。 这 些 新 操作 系统 着 眼 
于 两 个 新 的 发 展 趋 势 。 首 先 ， 它 们 认为 在 服务 器 之 上 运行 的 一 切 都 将 是 一 个 容器 。 其 次 ， 
它们 尝试 实施 原子 升级 机 制 ， 以 简化 在 数据 中 心 对 服务 器 的 运 维 工作 。 这 意味 着 这 些 新 操 
作 系 统 并 不 会 再 提供 像 yum 或 apt 这 样 的 传统 软件 包 管理 器 ， 而 是 假设 你 会 在 服务 器 上 通 
过 下 载 镜像 并 局 动 一 个 容器 的 方式 来 运行 你 的 应 用 程序 。 这 些 操作 系统 只 提供 运行 容器 
所 要 满足 的 最 低 要 求 。 

我 们 将 要 介绍 的 第 一 个 操作 系统 是 CoreOS (参见 范例 6.1)。CoreOS 已 经 可 以 在 多 个 公有 
云 服 务 上 使 用 。CoreOS 也 可 以 安装 在 裸 机 上 ， 通 过 Vagrant 在 本 地 进行 测试 ， 或 者 建立 自 
己 的 ISO 镜像 。 在 范例 6.2 中 ， 我 们 会 演示 如 何 配置 CoreOS 实例 。 在 范例 6.3 中 ， 我 们 将 
介绍 如 何 创 建 CoreOS 服务 器 集群 。 在 范例 6.4 中 ， 我 们 会 讲述 如 何 使 用 基于 系统 原生 的 
调度 器 在 CoreOS 集群 中 启动 容器 。 之 后 ， 我 们 会 介绍 Flannel， 它 是 捆绑 在 CoreOS 中 的 
覆盖 (overlay) 网 络 技术 。 正 如 我 们 在 第 3 章 中 所 提 到 的 那样 ，Flannel 是 为 跨越 多 台 主 机 
的 容器 通过 一 个 私有 IP 空间 进行 通信 的 一 个 网 络 解决 方案 。 


之 后 ， 我 们 将 介绍 其 他 三 个 专门 针对 Docker 进行 过 优化 的 操作 系统 。 在 范例 6.6 中 ， 我 们 
会 对 RedHat 的 Atomic 进行 介绍 ， 在 范例 6.7 中 会 演示 如 何在 AWS 上 启动 Atomic 实例 。 
在 范例 6.8 中 ， 我 们 将 会 介绍 Ubuntu Snappy， 而 在 范例 6.9 中 ， 还 会 学 习 如 何在 AWS 上 
启动 一 个 Ubuntu 实例 。 除 了 介绍 的 这 些 基 于 AWS 的 例子 ， 你 还 可 以 选择 在 本 地 计算 机 上 
或 是 在 云 环境 中 尝试 这 些 新 一 代 操 作 系 统 。 最 后 ， 我 们 会 在 范例 6.10 中 对 RancherOS 进行 
说 明 ，RancherOS 与 其 他 操作 系统 的 不 同 之 处 在 于 它 的 所 有 系统 服务 都 在 容器 之 中 运行 。 
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总 之 ， 本 章 会 为 你 提供 一 些 能 替代 传统 操作 系统 来 运行 Docker 的 选择 ， 并 提出 一 些 解决 
方案 ， 在 这 些 方案 的 主机 中 ， 一 切 都 是 以 一 个 容器 的 方式 在 运行 。 需 要 注意 的 是 ， 除 此 之 
外 你 还 有 其 他 选择 ， 比 如 VMware Photon (https:Wvmware.github.io/photon/) 。 此 外 ， 还 有 
一 些 项 目 利用 了 传统 的 虚拟 化 技术 但 是 采用 了 不 同 的 方法 ， 比 如 Clear Linux 项 目 (https:// 
clearlinux.org) 和 hyper.sh (https:Whyper.sh ) 。 

CoreOS 是 一 个 新 的 Linux 发 行 版 ， 一 些 公共 云 服务 提供 商 已 经 提供 了 对 CoreOS 的 支持 。 
这 是 一 种 新 的 趋势 ， 其 目的 是 建立 一 个 只 提供 在 容器 内 运行 应 用 程序 功能 的 最 简 操 作 系 
统 。 理 论 上 讲 ， 它 试图 通过 一 个 可 扩展 的 、 易 于 管理 的 操作 系统 来 简化 基础 设施 的 运 维 ， 
这 个 操作 系统 能 清晰 地 将 应 用 程序 和 运 维 的 关注 点 进行 分 离 。 


6.1 在 Vagrant 中 体验 CoreOS Linux 发 行 版 


6.1.1 问题 


你 想 使 用 CoreOS Linux 发 行 版 来 运行 Docker 容器 ， 但 是 在 这 之 前 ， 你 想 先 在 本 地 尝试 一 
下 CoreOS 。 


6.1.2 解决 方案 


使 用 Vagrant (http://vagrantup.com) 在 VirtualBox 中 启动 一 个 虚拟 机 ， 虚 拟 机 将 运行 CoreOS 。 
Vagrant 的 官方 文档 (https://coreos.com/docs/running-coreos/platforms/vagrant/) 详细 描述 了 整个 
操作 过 程 ， 本 范例 是 官方 文档 的 总 结 。 
第 一 次 通过 Vagrant 启动 CoreOS 虚拟 机 ， 需 要 先 克 隆 一 个 Git 仓库 (https://github.com/ 
coreos/coreos-vagrant.git) ， 然 后 运行 vagrant up 命令。 之 后 ， 你 将 能 够 通过 ssh 连接 到 已 
启动 的 实例 并 使 用 Docker， 如 下 所 示 。 

$ git clone https://github.com/coreos/coreos-vagrant.git 


$ cd coreos-vagrant/ 
$ tree 







































































| 一 CONTRIBUTING.md 
| 一 MAINTAINERS 

| 一 README.md 

| 一 Vagrantfile 

| 一 config.rb.sample 
[一 user-data.sample 


0 directories, 6 files 

$ vagrant up 

$ vagrant ssh 

Last login: Mon Jan 12 10:39:30 2015 from 10.0.2.2 

Core0S alpha (557.0.0) 

core@core-01 ~ $ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 


CoreOS 使 用 systemd (http://www.freedesktop.org/wiki/Software/systemd/) 作为 Linux 初始 
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化 系统 ， 致 力 于 成 为 一 个 最 小 的 发 行 版 ， 并 提供 滚动 升级 功能 ， 可 以 轻松 地 实现 回 深 。 核 
心软 件 包 应 直接 安装 在 系统 中 ， 应 用 程序 则 应 完全 部 署 在 容器 中 。 因 此 ， 在 CoreOS 中 并 
没有 包 管 理 器 。 在 CoreOS 实例 中 运行 的 所 有 服务 都 以 systemd 单元 文件 运行 ， 并 且 可 以 
使 用 诸如 systemctl 或 journalctl 这 样 的 命令 来 与 这 些 服 务 进行 交互 (https://coreos.com/ 
docs/launching-containers/launching/getting-started-with-systemd) ， 如 下 所 示 。 






































$ SystemctL list-units | grep docker |awk {'print $1'} 
sys-devices-virtual-net-docker0.device 
sys-subsystem-net-devices-docker0.device 
var-lib-docker-btrfs.mount 

docker .service 

docker .socket 

early-docker .target 


$ journalctl -u docker.service 

-- Logs begin at Mon 2015-01-12 10:39:15 UTC, ... -- 
Jan 12 10:39:34 core-01 systemd[1]: Starting Docker ... 
Jan 12 10:39:34 core-01 systemd[1]: Started Docker ... 


Jan 12 10:39:34 core-01 dockerd[876]: ... msg="+job serveapi(fd://)" 

Jan 12 10:39:34 core-01 dockerd[876]: ... msg="+job init_networkdriver()" 

Jan 12 10:39:34 core-01 dockerd[876]: ... msg="Listening for HTTP on fd ()" 

Jan 12 10:39:34 core-01 dockerd[876]: ... msg="-job init_networkdriver() = OK (0)" 
Jan 12 10:39:34 core-01 dockerd[876]: ... msg="Loading containers: start." 

Jan 12 10:39:34 core-01 dockerd[876]: ... msg="Loading containers: done." 

Jan 12 10:39:34 core-01 dockerd[876]: ... msg="docker daemon: 1.4.1 ..." 

Jan 12 10:39:34 core-01 dockerd[876]: ... msg="+job acceptconnections()" 

Jan 12 10:39:34 core-01 dockerd[876]: ... msg="-job acceptconnections() = OK (0)" 
Jan 12 10:39:34 core-01 dockerd[876]: ... msg="GET /v1.16/containers/json" 

Jan 12 10:39:34 core-01 dockerd[876]: ... msg="+job containers()" 

Jan 12 10:39:34 core-01 dockerd[876]: ... msg="-job containers() = OK (0)" 


6.1.3 讨论 

尽管 可 以 克隆 上 面 的 Git 仓库 ， 然 后 通过 vagrant up 来 启动 一 个 CoreOS 实例 ， 不 过 你 
可 能 会 注意 到 config.rb.sample 和 user-data.sample 这 两 个 文件 。 这 两 个 文件 用 来 配置 一 个 
CoreOS 实例 的 集群 (参见 范例 6.3)， 并 在 启动 时 对 服务 进行 初始 化 设置 。Vagrant 会 在 
Vagrantfile 文件 中 读 取 这 两 个 文件 ， 如 下 所 示 。 


CLOUD_CONFIG_PATH = File.join(File.dirname(__FILE ), "user-data") 
CONFIG = File.join(File.dirname(__FILE ), "config.rb") 


























举例 来 说 ， 如 果 想 远程 访问 在 CoreOS 实例 中 运行 的 Docker 服务 ， 需 要 将 config.rb.sample 
文件 复制 为 config.rb， 将 user-data.sample 复制 为 user-data; 然后 编辑 config.rb 文件 ， 取 消 
对 $expose_docker_tcp=2375 这 一 行 的 注释 ， 如 下 所 示 。 

$ cp config.rb.sample config.rb 


$ cp user-data.sample user-data 
$ tree 











| 一 CONTRIBUTING.md 
| 一 MAINTAINERS 





| 一 README.md 
| 一 Vagrantfile 


| 一 config.rb 
| 一 config.rb.sample 


| 一 user-data 
[一 user-data.sample 


0 directories, 8 files 
$ vi config.rb #uncomment S$expose_docker_tcp=2375 
$ vagrant up 


如 果 你 按照 本 范例 解决 方案 中 的 指令 创建 的 CoreOS 实例 还 在 运行 中 ， 那 么 
可 以 通过 vagrant reload --provision 对 这 个 实例 进行 重新 初始 化 ， 或 者 
先 通过 vagrant destroy 销毁 这 个 实例 ， 然 后 通过 vagrant up 来 重新 创建 


这 个 实例 。 











Vagrant 会 为 CoreOS 实例 配置 一 个 NAT 和 主机 网 络 接口 ， 并 将 会 在 NAT 网 络 接口 上 对 
2375 端口 进行 转发 ， 这 样 你 就 可 以 通过 localhost 连接 到 Docker 服务 了 。 


$ docker -H tcp://127.0.0.1:2375 ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 


6.1.4 ”参考 
。 CoreOS 文档 (https://coreos.com/docs/) 








讨论 Docker 容器 与 CoreOS 专用 的 Rocket (https://coreos.com/blog/rocket/) 
的 对 比 已 经 超越 了 本 书 的 范围 。Rocket 是 CoreOS 提出 的 一 个 App Container 
规范 (https://github.com/appc/spec/blob/master/SPEC.md) 的 实现 。 在 范例 
4.6 中 ， 我 们 将 这 两 种 容器 格式 结合 起 来 ,讨论 了 开放 容器 组 织 所 做 的 工作 。 




















6.2 ”使 用 cloud-init 在 CoreOS 上 启动 容器 


6.2.1 问题 


知道 了 如 何 通 过 Vagrant 启动 一 个 CoreOS 实例 ， 你 想 使 用 cloud-init 工具 (https://cloudinit. 
readthedocs.org/en/latest/) 在 系统 启动 时 运行 一 个 容器 。 


6.2.2 ”解决 方案 


你 知道 如 何 通过 Vagrant 来 启动 一 个 CoreOS 实例 (参见 范例 6.1)。 现 在 你 需要 在 user-data 
文件 中 添加 一 个 systemd 单元 。CoreOS 将 会 在 系统 启动 时 自动 启动 这 个 单元 。 


创建 一 个 新 的 user-data 文件 ， 文 件 内 容 如 下 所 示 。 
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#cloud-config 


coreos: 
units: 
- Name: es.service 

command: start 

content: | 
[Unit] 
After=docker .service 
Requires=docker .service 
Description=starts Elastic Search container 


[Service] 

TimeoutStartSec=0 

ExecStartPpre=/usr/bin/docker pull dockerfile/elasticsearch 

ExecStart=/usr/bin/docker run -d -p 9200:9200 -p 9300:9300 \ 
dockerfile/elasticsearch 


如 果 你 在 范例 6.1 中 创建 的 CoreOS 实例 还 在 运行 中 ， 请 先 通 过 vagrant destroy 命令 销毁 
这 个 实例 ， 然 后 运行 vagrant up 重新 创建 一 个 新 实例 。 























docker .service 单元 会 在 CoreOS 开机 时 自动 启动 ， 所 以 不 需要 在 user-data 文 
件 中 指定 它 。 





虚拟 机 会 很 快 启动 ， 然 后 运行 配置 文件 中 定义 的 es.service 服务 。Dcoker 会 开始 拉 取 
dockerfile/elasticsearch 镜像 。 这 一 操作 可 能 会 花费 一 些 时 间 (所 以 你 需要 耐心 等 待 )， 并 会 
通过 docker ;images 来 监控 镜像 的 下 载 状态 。 镜 像 下 载 完 成 之 后 ， 就 会 启动 一 个 新 的 容器 
(参见 user-data 文件 中 ExecStart 指令 的 那 一 行 )， 如 下 所 示 。 








$ docker ps 
CONTAINER ID IMAGE COMMAND 
fa9ff4f2234c dockerfile/elasticsearch:latest “/elasticsearch/bin/ 


找到 虚拟 机 主机 网 络 接口 ( 即 eth1) 的 全 地 址 ， 然 后 打开 浏览 器 或 者 通过 curl 来 访问 该 
地 址 的 9200 端口 ， 如 下 所 示 。 


$ curl -s http://172.17.8.101:9200 | python -m json.tool 
{ 
"cluster_name": "elasticsearch", 
"name": "Wyatt Wingfoot", 
"status": 200, 
"tagline": "You Know, for Search", 
"version": { 
"build_hash": "89d3241d670db65f994242c8e8383b169779e2d4"， 
"build_snapshot": false, 
"build_timestamp": "2014-10-26T15:49:29Z"， 
"Lucene_version": "4.10.2", 
"number": "1.4.1" 





恭喜 ， 你 已 经 成 功 在 CoreOS 实例 上 通过 cloud-init 定义 了 一 个 systemd 单元 ， 并 启动 了 


一 个 Elasticsearch (http://www.elasticsearch.com) 容器 。 


6.2.3 讨论 


CoreOS 使 用 了 coreos-vagrant 仓库 里 的 user-data 文件 来 对 实例 进行 配置 ， 不 过 使 用 的 
是 CoreOS 版 本 的 cloud-init (https://cloudinit.readthedocs.org/en/latest/)。cloud-init 已 
经 被 很 多 公有 云 服务 提供 商 采 用 ， 很 多 IaaS 软件 解决 方案 也 提供 了 对 cloud-init 的 支持 。 
cloud-init 可 以 用 在 云 计算 服务 中 ， 在 局 动 时 对 局 动 的 虚拟 机 实例 进行 上 下 文 环境 设置 。 
本 范例 的 一 个 有 趣 的 部 分 是 ， 容 器 是 以 systemd 单元 文件 的 形式 定义 的 ， 并 随 着 系统 的 启 
动 而 自动 开始 运行 。CoreOS 官方 提供 了 很 多 关于 这 一 特性 的 文档 (https://coreos.com/docs/ 


launching-containers/launching/getting-started-with-systemd/) 。 














CoreOS 拥有 自己 的 cloud-init (https://github.com/coreos/coreos-cloudinit/blob/master/ 
Documentation/cloud-config.md#coreos-parameters) 实现 ， 一 些 cloud-init 操作 可 能 
不 受 支 持 ， 其 他 的 则 只 适用 于 CoreOS (比如 fleet、etcd 和 flannel)。 





6.3 ”通过 Vagrant 启 动 CoreOS 和 集群 ， 在 多 台 主 机 


上 运行 容器 
6.3.1 问题 


你 希望 更 深入 地 掌握 一 些 CoreOS 功能 和 插件 (比如 etcd 和 fleet)， 以 管理 一 个 由 多 台 
Docker 主机 组 成 的 集群 。 


6.3.2 解决 方案 
如 果 你 还 设 有 进行 以 下 操作 ， 请 先 从 GitHub 克隆 CoreOS Vagrant 项 目 ， 并 修改 配置 文件 。 


$ git clone https://github.com/coreos/coreos-vagrant.git 
$ cd coreos-vagrant/ 

$ cp config.rb.sample config.rb 

$ cp user-data.sample user-data 


我 们 还 可 以 继续 使 用 范例 6.1 中 的 Vagrantfile 文件 ， 然 后 在 config.rb 文件 中 设置 集群 中 的 
实例 数量 。 这 个 集群 由 一 组 CoreOS 实例 组 成 ， 这 些 实例 可 以 由 Vagrant 在 VirtualBox 中 
局 动 ， 也 可 以 在 VMware Fusion 中 运行 。 


在 范例 6.2 中 ， 你 已 经 看 到 了 如 何 修改 用 户 数据 来 让 一 个 容器 在 系统 启动 时 就 开始 运行 。 
在 范例 6.1 中 ， 通 过 修改 config.rb 文件 ， 将 2375 端口 暴露 出 来 ， 以 允许 远程 访问 Docker 
守护 进程 。 要 想 通 过 Vagrant 启动 一 个 CoreOS 集群 ， 你 需要 修改 config.rb 文件 来 设置 集 
群 中 实例 的 个 数 。 比 如 ，S$num_instances=4 将 会 启动 四 个 CoreOS 实例 。 
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另外 ， 在 config.rb 文件 顶部 ， 你 会 看 到 一 些 Ruby 代码 ， 这 些 代 码 会 修改 user-data 文件 
将 discovery 密 钥 保存 到 这 个 YAML 文件 中 。 这 里 使 用 了 由 CoreOS 团队 运营 的 发 现 服 
务 ， 用 来 帮助 在 集群 节点 上 运行 etcd 服务 。etcd (https://github.com/coreos/etcd) 是 一 个 
高 可 用 的 键 值 存储 服务 ， 用 于 进行 配置 信息 的 共享 和 服务 发 现 ， 它 可 以 与 CoreOS 结合 使 
用 。etcd 和 其 他 服务 发 现 解决 方案 类 似 ， 比 如 Apache ZooKeeper (http://zookeeper.apache. 
org) 和 Consul (https:Wconsulio)。 你 可 以 让 etcd 在 不 同 的 主机 上 运行 ， 但 是 ， 在 这 个 范 
例 中 ， 我 们 将 会 利用 Vagrantfile 的 优点 ， 定 义 一 个 在 多 台 主 机 上 运行 的 etcd， 并 让 它 在 将 
要 启动 的 集群 之 上 运行 。etcd 允许 Docker 主机 发 现 自己 ， 并 帮助 对 容器 进行 调度 。 


讨论 etcd 已 经 超出 了 本 书 的 范围 。CoreOS 提供 了 一 个 简单 易 用 的 基于 etcd 
的 发 现 服务 (https://coreos.com/docs/cluster-management/setup/cluster-discovery)， 
以 方便 启动 CoreOS 集群 。Vagrant 的 例子 中 虽然 使 用 了 该 服务 发 现 方 式 ， 但 
不 建议 在 生产 环境 中 使 用 。 












































在 config.rb 文件 中 ， 删 除 该 脚本 对 开始 部 分 代码 的 注释 ， 并 设置 集群 中 实例 的 个 数 。 
if File.exists?('user-data') 8&& ARGV[0].eql?('up') 
require "open-uri' 
require "yamL' 


token = open('https://discovery.etcd.io/new').read 


data = YAML.Load(I0.readLines('user-data')[1..-1].join) 
data['coreos']['etcd']['discovery'] = token 


yaml = YAML.dump(data) 
File.open('user-data', 'w') { |file| file.write("#cloud-config\n\n#{yaml}") } 


end 


$num_instances=4 


如 果 你 曾经 按照 范例 6.1 和 范例 6.2 进行 过 操作 ， 那 么 你 需要 在 启动 集群 之 
前 ， 通 过 vagrant destroy 来 销毁 所 有 现存 CoreOS 实例 。 





在 将 实例 数 设置 为 4 之 后 ， 别 忘 了 将 原始 的 user-data.sample 文件 复制 到 user-data， 然 后 只 
需要 执行 vagrant up 并 等 待 初始 化 完成 。 之 后 ， 你 就 可 以 ssh 到 其 中 的 一 个 节点 ， 使 用 一 
个 新 工具 fleet 列 出 已 经 加 入 到 这 个 集群 的 所 有 节点 ， 如 下 所 示 。 

$ cp user-data.sample User-data 

$ vagrant up 


$ vagrant status 
Current machine states: 








core-01 running (virtualbox) 
core-02 running (virtualbox) 





Core-03 
Core-04 


running (virtualbox) 
running (virtualbox) 


$ vagrant ssh core-01 


Core0S (stable) 
core@core-01 ~ 
MACHINE IP 


$ fleetctl list-machines 
METADATA 


Qlefec94... 172.17.8.102 - 
3602cd04... 172.17.8.104 - 
cd3de202... 172.17.8.103 - 
e4coe706... 172.17.8.101 - 


6.3.3 讨论 


CoreOS 自己 开发 的 etcd 服务 发 现 组 件 在 这 里 用 来 启动 该 集群 (也 就 是 定义 前 导 符 )。 在 





user-data 文件 中 ， 你 现在 可 以 看 到 有 一 行 月 














(实际 上 你 的 令 牌 与 例子 中 的 令 牌 会 不 一 样 )。 


discovery: https://discovery.etcd.io/61297b379e5024f33b57bd7e7225d7d7 


来 定义 discovery 密 钥 ， 这 里 指定 了 一 个 令 牌 


如 果 通 过 curl 命令 访问 这 个 URL (curl -s https://discovery.etcd.io/ 61297b379e5024f 
33b57bd7e7225d7d7 | python -m json.tool)， 你 将 会 看 到 该 集群 中 各 节点 的 IP 地址。 任何 
人 只 要 得 到 了 你 的 令 牌 ， 就 能 获得 该 集群 中 的 节点 列表 ， 并 能 尝试 将 他 的 节点 添加 到 你 的 
集群 中 ， 所 以 一 定 要 小 心 保管 自己 的 令 牌 。 


{ 


"action": 
"node": { 











get ， 


"createdIndex" : 279743993 ， 


"dir": 


true, 


"key": "/_etcd/registry/61297b379e5024f33b57bd7e7225d7d7"， 
"modifiedIndex": 279743993， 


"nodes" 


{ 


: [ 


"createdIndex" : 279744808 ， 

"expiration": "2015-01-19T17:50:15.797821504Z"， 
"key": "/_etcd/registry/61297b379e5024f33b57bd7 
"modifiedIndex": 279744808 ， 

"ttl": 599113 ， 

"value": "http://172.17.8.101:7001" 


"createdIndex": 279745601, 

"expiration": "2015-01-19T17:59:49.196184481Z",， 
"key": "/_etcd/registry/61297b379e5024f33b57bd7 
"modifiedIndex": 279745601， 

"ttl": 599687, 

"value": "http://172.17.8.102:7001" 


"createdIndex": 279746380， 
"expiration": "2015-01-19T17:51:41.9630866572Z"， 
"key": "/_etcd/registry/61297b379e5024f33b57bd7 
"modifiedIndex": 279746380 ， 


.../e4c0... 


.../01lef... 


/ed3dsia 
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"ttL" : 599199 ， 
"value": "http://172.17.8.103:7001" 


后 
攻 
"createdIndex": 279747319 ， 
"expiration": "2015-01-19T17:52:33.315082679Z"， 
"key": "/_etcd/registry/61297b379e5024f33b57bd7.../3602..."， 
"modifiedIndex": 279747319 ， 
"ttl": 599251， 
"value": "http://172.17.8.104:7001" 
} 


} 


现在 ， 你 的 这 些 节 点 就 组 成 了 一 个 etcd 集群 ， 这 是 一 个 可 以 完美 工作 的 高 可 用 键 值 存储 服 
务 。 通 过 etcdctl 命令 ， 你 可 以 对 键 进行 get 和 set 操作 ， 如 下 所 示 。 


core@core-01 ~ $ etcdctl set foobar “Docker” 

















Docker 

core@core-01 ~ $ etcdctl get foobar 
Docker 

core@core-01 ~ $ etcdctl ls 

/foobar 


/coreos.com 
要 想 在 该 集群 中 启动 容器 ， 可 以 像 在 范例 6.2 中 那样 定义 一 个 systemd 单元 文件 ， 然 后 通 
过 fleetctl 命令 行 工 具 来 启动 容器 (参见 范例 6.4)。 
6.3.4 ”参考 


。 使 用 Vagrant 创建 CoreOS 集群 (https://coreos.com/blog/coreos-clustering-with-vagrant/) 
。 etcd 简介 (https://coreos.com/docs/distributed-configuration/getting-started-with-etcd/ ) 

















。 fleet 入 门 (https://coreos.com/docs/launching-containers/launching/launching-containers-fleet/) 


6.4 在 CoreOS 集 群 上 通过 flLeet 局 动容 器 


6.4.1 问题 
你 有 一 个 可 以 工作 的 CoreOS 集群 ， 想 在 上 面 运 行 容 器 。 


6.4.2 ”解决 方案 

当 已 经 有 了 可 工作 的 CoreOS 集群 时 (参见 范例 6.3)， 可 以 使 用 fleetctl 命令 行 工 具 来 启 
动容 器 。 可 以 通过 编写 systemd 单元 文件 来 描述 要 运行 的 容器 ， 并 通过 fleetctl start 命 
令 在 集群 上 对 容器 进行 调度 。 

比如 ， 回 顾 一 下 我 们 在 范例 6.2 中 是 如 何 使 用 cloud-init 来 启动 容器 的 。 你 可 以 提取 出 来 
下 面 的 systemd 单元 文件 ， 以 在 CoreOS 集群 中 启动 一 个 Elasticsearch 容器 (我们 称 之 为 
































es.service)， 如 下 所 示 。 


[Unit] 

After=docker .service 

Requires=docker .service 

Description=starts Elastic Search container 


[Service] 
TimeoutStartSec=0 
ExecStartPpre-=/usr/bin/docker kill es 
ExecStartPre-=/usr/bin/docker rm es 
ExecStartPpre=/usr/bin/docker pull dockerfile/elasticsearch 
ExecStart=/usr/bin/docker run --name es -p 9200:9200 \ 
-p 9300:9300 \ 
dockerfile/elasticsearch 
ExecStop=/usr/bin/docker stop es 


通过 fleetctl 启动 这 个 容器 ， 如 下 所 示 。 


$ vagrant ssh core-01 

$ fleetctl start es.service 

$ fleetctl list-units 

UNIT MACHINE ACTIVE SUB 

es.service Qlefec94.../172.17.8.102 activating start-pre 
$ fleetctl list-units 

UNIT MACHINE ACTIVE SUB 

es.service Qlefec94.../172.17.8.102 active running 


fleet 将 会 在 集群 节点 上 对 这 个 单元 进行 调度 。systemd 将 会 开始 启动 这 个 es.service 单 
元 ， 首 先 会 开始 下 载 相 应 的 镜像 。 当 镜像 下 载 完 成 后 ， 就 会 根据 单元 文件 中 ExecStart 的 
定义 启动 容器 。 


6.4.3 讨论 
fleet 的 命令 行 工 具 fleetctl 也 提供 了 几 个 方便 的 命令 来 检查 单元 文件 的 journal、 删 除 单 
元 文件 ， 以 及 ssh 到 为 该 单元 分 配 的 节点 上 。 这 些 命令 在 调试 过 程 中 非常 方便 ， 如 下 所 示 。 


$ fleetctl list-units 

UNIT MACHINE ACTIVE SUB 

es.service Qlefec94.../172.17.8.102 active running 

$ fleetctl ssh es.service 

Last login: Mon Jan 12 22:03:29 2015 from 172.17.8.101 

Core0S (stable) 

core@core-02 ~ $ docker ps 

CONTAINER ID IMAGE COMMAND Pro 
6fc661ba2153 dockerfile/elasticsearch:latest "/elasticsearch/bin/ ... 
core@core-02 ~ $ exit 

$ fleetctl journal es.service 

-- Logs begin at Mon 2015-01-12 17:50:47 UTC, end at Mon 2015-01-12 22:13:20 UTC 
Jan 12 22:06:13 core-02 ...[node ] [Wendigo] initializing ... 

Jan 12 22:06:13 core-02 ...[plugins ] [Wendigo] loaded [], sites [] 

Jan 12 22:06:17 core-02 ...[node ] [Wendigo] initialized 
] 
] 




















Jan 12 22:06:17 core-02 ...[node [Wendigo] starting ... 
Jan 12 22:06:17 core-02 ...[transport [Wendigo] bound_address .. 
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Jan 12 22:06:17 core-02 .. .discovery ] [Wendigo] elasticsearch/_NcgQa... 


Jan 12 22:06:21 core-02 ...[cLuster.service ] [Wendigo] new_master [Wendigo]... 

Jan 12 22:06:21 core-02 ...[http ] [Wendigo] bound_address ... 

Jan 12 22:06:21 core-02 ...[node ] [Wendigo] started 

Jan 12 22:06:21 core-02 ...[gateway ] [Wendigo] recovered [0] ... 
6.4.4 ”参考 


。 使 用 fleet (https://coreos.com/docs/launching-containers/launching/launching-containers-fleet/) 启 
动容 器 Le 


6.5 ”在 CoreOS 实 例 之 间 部 署 flannel 覆 盖 网 络 


一 一 本 范例 由 Eugene Yakubovich 提供 


6.5.1 问题 
你 有 一 个 CoreOS 集群 ， 想 使 用 覆盖 网 络 取代 端口 转发 的 方式 进行 网 络 通 信 。 


6.5.2 ”解决 方案 


在 所 有 CoreOS 节点 上 安装 flannel。 在 对 CoreOS 进行 初始 化 的 cloud-config 文件 中 ， 加 
入 下 面 的 代码 片段 。 


#cloud-config 





Coreos : 
units: 
- name: flanneld.service 
drop-ins: 
- Name: 50-network-config.conf 
content: | 
[Service] 
ExecStartPre=/usr/bin/etcdctl set \ 
/coreos.com/network/config \ 
'{ "Network": "10.1.0.0/16" }' 
command: start 


请 确保 所 选用 的 全 地 址 范围 在 组 织 内 可 用 。flannel 使 用 etcd 进行 协调 。 
请 确保 已 经 按照 范例 的 内 容 建立 了 一 个 etcd 集群 。 








请 确保 你 的 安全 策略 允许 基于 UDP 8285 端口 的 通信 。 启 动 CoreOS 实例 ， 然 后 等 待 
flannel 完成 初始 化 。 


可 以 使 用 ifconfig 工具 来 检查 一 下 flannel6 接口 是 否 已 经 启动 ， 如 下 所 示 。 











$ ifconfig 


flannel0: flags=81<UP,POINTOPOINT,RUNNING> mtu 1472 
inet 10.1.77.0 netmask 255.255.0.0 destination 10.1.77.0 
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen ... 
RX packets 0 bytes 0 (0.0 B) 
RX errors 0 dropped 0 overruns 0 frame 0 
TX packets 0 bytes 0 (0.0 B) 
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 


接 下 来 ， 启 动 一 个 监听 8000 端口 的 容器 ， 并 让 它 输出 自己 的 卫 地 址 ， 如 下 所 示 。 


$ docker run -it --rm busybox /bin/sh -c \ 
"ifconfig eth0 && nc -L -p 8000" 

eth0 Link encap:Ethernet HWaddr 02:42:0A:01:4D:03 
inet addr:10.1.77.3 Bcast:0.0.0.0 Mask:255.255.255.0 
UP BROADCAST MTU:1472 Metric:1 
RX packets:3 errors:0 dropped:0 overruns:0 frame:0 
TX packets:1 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:234 (234.0 B) TX bytes:90 (90.0 B) 


记 下 ifconfig 命令 返回 的 全 地 址 ， 其 他 位 于 这 个 flannel 网 络 中 的 容器 可 以 通过 这 个 卫 
地 址 访问 到 该 容器 。 
在 另 一 台 主 机 上 ， 启 动 一 个 容器 并 发 送 一 个 字符 串 给 上 面容 器 中 的 监听 器 ， 如 下 所 示 。 


$ docker run -it --rm busybox /bin/sh -c \ 
"echo Hello, container | nc 10.1.77.3 8000" 








将 会 输出 “Hello, container”， 然 后 退出 。 


如 果 想 要 在 cloud-config 文件 的 units 部 分 添加 更 多 的 内 容 ， 需 要 确保 将 任 
eoher A oe ON ne Flanneld pervlee 之 后 。 由 于 单元 文件 是 
按照 顺序 执行 的 ， 这 样 就 能 保证 在 容器 启动 之 前 flannel 已 经 启动 完成 。 











6.5.3 讨论 

flannel 的 配置 保存 在 etcd (/coreos.com/network/config)， 并 且 需 要 在 flanneld 启动 之 
前 就 设置 好 。 最 方便 的 设置 方式 就 是 使 用 Systemd flanneld.service 中 的 
ExecStartPre 指令 。 像 前 面 所 述 的 那样 ， 这 些 配置 也 可 以 通过 cloud-config 文件 写 入 磁盘 


在 真实 使 用 场景 下 ， 需 要 以 某 种 自动 方式 来 分 发 服务 容器 的 IP 地 址 信息 。 当 为 服务 创建 了 
单元 文件 之 后 ， 可 以 通过 etcd 来 注册 客户 端 将 要 访问 的 服务 器 的 卫 地 址 信息 ， 如 下 所 示 。 


[service] 

ExecStartPre=/usr/bin/docker create --name=netcat-server busybox \ 
/usr/bin/nc -L -p 8000 

ExecStart=/usr/bin/docker start -a netcat-server 
ExecStartPost=/bin/bash -c 'etcdctl set /services/netcat-server \ 
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$(docker inspect --format="{{.NetworkSettings.IPAddress}}" netcat-server)' 


ExecStop=/usr/bin/docker stop netcat-server 
ExecStopPost=/usr/bin/docker rm netcat-server 














除了 使 用 ExecStartPost 指令 ， 也 可 以 创建 一 个 辅助 单元 (http://https://coreos. 
comyfleetdocs/latesVlaunching-containers-fleethtml) 。 或 者 使 用 SkyDNS (https:// 
github.com/skynetservices/skydns) 项 目 来 为 客户 端 提 供 DNS 接口 。 











默认 配置 下 ，flannel 会 使 用 一 个 TUN 设备 来 将 数据 包 发 送 到 用 户 空 间 来 实现 UDP 封装 。 
这 是 一 个 成 熟 的 解决 方案 ， 因 为 在 很 多 年 前 TUN 设备 就 已 经 成 为 Linux 内 核 的 一 部 分 了。 
但 是 ， 由 于 数据 包 需 要 经 由 flannel 守护 进程 进 进出 出 ， 所 以 对 性 能 有 很 大 的 有 影响。 现代 
Linux 内 核 已 经 支持 一 种 称 为 VXLAN 的 新 数据 封装 技术 。VXLAN 也 将 数据 包 封 装 为 对 网 
络 友 好 的 UDP， 但 是 这 些 工作 都 是 在 内 核 中 完成 的 。CoreOS 坚持 使 用 最 新 的 内 核 ， 所 以 
可 以 非常 方便 地 使 用 VXLAN。 启 用 VXLAN 也 很 简单 ， 只 需要 在 flannel 的 配置 文件 中 
修改 一 下 Backend 属性 即 可 ， 如 下 所 示 。 


ExecStartPre=/usr/bin/etcdctl set /coreos.com/network/config \ 
'{ "Network": "10.1.0.0/16", "Backend": { "Type": "vxlan"” } }' 











在 一 个 不 安全 的 环境 中 运行 时 ， 最 好 在 flannel 和 etcd 通信 中 采用 TLS 
机 制 。TLS 客户 端 证 书 可 以 用 于 限制 对 etcd 的 访问 。 可 以 参考 etcd 和 
flannel 的 文档 来 获取 更 详细 的 信息 。 




















6.6 ”使 用 Project Atomic 运 行 Docker 容 器 


6.6.1 问题 


你 在 寻找 一 个 CoreOS、Ubuntu Snappy 和 RancherOS 之 外 的 操作 系统 。 


6.6.2 ”解决 方案 


使 用 Project Atomic (http:Wwww.projectatomic.io) 。Atomic 是 由 Red Hat 资助 的 项 目 ， 并 受 
到 了 RHEL 和 CentOS 发 行 版 的 启发 。Atomic 基于 CentOS 7， 与 CoreOS、Ubuntu Snappy 
和 RancherOS 一 样 ， 它 的 目标 也 是 提供 针对 Docker 进行 过 优化 的 Linux 发 行 版 ， 以 容器 
的 方式 来 部 署 应 用 程序 。Atomic 通过 称 为 rpm-ostree (http://www.projectatomic.io/docs/0s- 
updates/) 的 组 件 来 进行 升级 。 当 有 新 的 升级 可 用 时 ， 它 就 会 重启 并 安装 新 的 升级 程序 ， 同 
时 它 也 支持 对 升级 进行 回 滚 。 

可 以 使 用 CentOS 的 构建 (http://buildlogs.centos.org/rolling/7/isos/x86_64/) 来 运行 Atomic。 
可 以 选择 下 载 ISO， 一 个 为 基于 内 核 的 虚拟 机 (kernel-based virtual machine，KVM) 准备 





























不 


I 




















的 gcow2 镜像 ， 或 者 一 个 Vagrant 虚拟 机 。( 为 VirtualBox 准备 的 Vagrant 虚拟 机 可 能 六 
是 最 新 版 本 的 Atomic， 需 要 进行 升级 。) 
像 本 书 的 其 他 部 分 一 样 ， 为 了 方便 使 用 ， 我 也 准备 了 一 个 Vagrantfile 文件 ， 如 下 所 示 。 


Sbootstrap=<<SCRIPT 
gpasswd -a vagrant root 
SCRIPT 


# Vagrantfile API 和 语法 的 版 本 号 ,不 要 修改 这 个 版 本 号 ,除非 你 知道 怎么 去 做 
VAGRANTFILE_API_VERSION = "2" 











Vagrant.configure(VAGRANTFILE API_VERSION) do |config| 
# 每 一 个 Vagrant 虚 拟 环 境 都 需要 使 用 一 个 box 来 构建 
config.vm.box = "atomic" 
config.vm.box_url = "http://buildlogs.centos.org/rolling/7/isos/x86_64/\ 

Cent0S-7-x86_64-AtomicHost-Vagrant-VirtuaLBox .box" 





config.vm.provider "virtualbox" do |vb, overridel| 
vb.customize ["modifyvm", :id, "--memory", "2048"] 
end 


config.vm.network :forwarded_port, host: 9090, guest: 9090 
config.vm.provision :shell, inline: $bootstrap 


end 
如 果 已 经 安装 了 Vagrant ， 则 只 需要 执行 vagrant up 就 可 以 ssh 到 这 台 Atomic 主机 。 克 隆 
本 书 附 带 的 代码 仓库 ， 你 就 能 看 到 上 面 的 Vagrantfile 文件 ， 如 下 所 示 。 


$ git clone https://github.com/how2dock/docbook 
$ cd dockbook/ch06/atomic 

$ vagrant up 

$ vagrant ssh 


Atomic 计算 机 启动 之 后 ， 里 面 的 Docker 就 已 经 安装 好 了 。 你 可 以 通过 atomic 命令 来 查看 
Atomic 主机 ， 使 用 sudo atomic host upgrade 命令 来 进行 升级 。 


6.6.3 ”参考 


。 Atomic 项 目 文档 (http://www.projectatomic.io/docs/ ) 


6.7 ”在 AWS 上 启动 Atomic 实 例 运行 Docker 
































6.7.1 问题 
你 不 希望 用 Vagrant 来 尝试 Atomic (参见 范例 6.6) ， 同 时 也 不 想 使 用 ISO 镜像 。 





为 Docker 优 化 的 操作 系统 | 165 


6.7.2 解决 方案 


在 Amazon EC2 上 运行 Atomic 实例 。AWS EC2 提供 了 Atomic 的 AMI。 可 以 打开 你 的 
AWS 管理 控制 台 ， 进 入 实例 局 动向 导 ， 然 后 查找 名 为 atomic 的 社区 AMI， 你 会 发 现 有 几 
个 AMI 结 果 可 用 ， 这 些 AMI 大 多 数 都 基于 Fedora 22 版 本 。 在 创建 了 SSH 密 钥 对 之 后 ， 
就 可 以 启动 实例 了 。 当 实例 启动 后 ， 就 可 以 连接 到 该 实例 。 作 为 例子 ， 这 里 假设 该 实例 的 
IP 地 址 为 52.18.234.151。 现 在 你 可 以 访问 Docker 了 ， 如 下 所 示 。 














$ ssh -i ~/.ssh/<SSH_PRIVATE_KEY> fedora@52.18.234.151 

[fedora@ip-172-31-46-186 ~]$ sudo docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
[fedora@ip-172-31-46-186 ~]$ sudo docker version | version 

Client version: 1.5.0-dev 


Server version: 1.5.0-dev 


个 实例 自 带 了 一 个 atomic 命令 ， 你 可 以 通过 该 命令 对 主机 进行 升级 。 检 查实 例 的 状态 并 





ee 此 操作 将 会 下 载 最 新 版 的 Atomic。 辣 全 你 需要 重启 实例 才能 完成 升级 。 








[fedora@ip-172-31-46-186 ~]$ atomic host status 

TIMESTAMP (UTC) VERSION ID OSNAME REFSPEC 
* 2015-05-12 18:53:06 22.66 cd414cba85 fedora-atomic fedora-atomic:... 
[fedora@ip-172-31-46-186 ~]$ atomic host upgrade 
Updating from: fedora-atomic:fedora-atomic/f22/x86_64/docker -host 
[fedora@ip-172-31-46-186 ~]$ sudo systemctl reboot 


在 重启 之 后 ， 你 会 发 现 该 主机 已 经 自动 升级 到 了 新 版 本 的 Docker， 这 也 是 最 新 版 Atomic 
里 附带 的 ， 如 下 所 示 。 











[fedora@ip-172-31-46-186 ~]$ sudo docker version 
Client version: 1.7.1.fc22 


Server version: 1.7.1.fc22 


6.7.3 讨论 


你 可 以 通过 AWS 命令 行 工 具 或 者 本 范例 提供 的 脚本 来 启动 实例 。 本 范例 附带 的 脚本 有 一 
个 好 处 就 是 ， 它 使 用 了 Apache Libcloud， 因 此 很 方便 移植 到 其 他 提供 了 Atomic 模板 的 云 
计算 服务 提供 商 ， 如 下 所 示 。 





























#!/usr/bin/env python 


import os 
from libcloud.compute.types import Provider 
from libcloud.compute.providers import get_driver 


ACCESS_ID = os.getenv('AWSAccessKeyId') 
SECRET_KEY = os.getenv('AWSSecretKey') 


IMAGE_ID = 'ami-dd3fbQaa' 
SIZE_ID = 'm3.medium’ 





cls = get_driver(Provider .EC2_EU_NEST) 
driver = cLs(ACCESS_ID，SECRET_KEY) 


sizes = driver.list sizes() 

images = driver.list images() 

size = [sfor sin sizes if s.id == SIZE_ID][0] 
image = [i for 1 in images if i.id == IMAGE_ID][0] 


# 读 取 云 配置 文件 


userdata = "\n".join(open('./cloud.cfg').readlines()) 


# 使 用 你 的 ssh 密 钥 对 名 称 进行 替换 

# 你 需要 在 默认 的 安全 组 中 打开 SSH 的 22 端 口 

# 这 里 还 假定 密 钥 对 名 称 为 "atomic' 

name = "atomic" 

node = driver.create_node(name=name, image=image,size=size,ex_keyname='atomic’', \ 
ex_userdata=userdata) 

snap, ip = driver.wait until_running(nodes=[node])[0] 

print ip[0] 


正如 这 段 脚 本 中 注释 部 分 所 表明 的 那样 ， 你 需要 创建 一 个 开放 22 端口 的 安全 组 ， 一 个 名 
为 atomic 的 SSH 密 钥 对 ， 以 及 一 个 包括 你 的 用 户 数据 的 名 为 cloud.cfg 的 文件 。 


6.8 快速 体验 在 Ubuntu Core Snappy 上 运行 Docker 


6.8.1 问题 


你 希望 测试 一 下 新 发 布 的 Ubuntu Core Snappy。 你 不 想 连接 到 公有 云 ， 也 不 想 手动 安装 
ISO 文件 ， 还 希望 避免 阅读 大 量 的 文档 。 你 只 是 想 快 速 尝试 一 下 Snappy。 


6.8.2 ”解决 方案 


我 准备 了 一 个 Vagrantfile 文件 ， 可 以 使 用 这 个 文件 在 你 的 宿主 机 上 启动 一 个 Ubuntu Core 
Snappy 虚拟 机 。 如 果 还 没有 克隆 本 书 附带 的 代码 仓库 ， 就 需要 先 克 隆 一 下 该 仓库 。 然 后 ， 
进入 ch06/snappy 文件 夹 ， 执 行 vagrant up 命令。 最 后 ，ssh 到 这 个 VM 并 使 用 Docker， 
如 下 所 示 。 


git clone https://github.com/how2dock/docbook.git 

cd docbook/ch06/snappy 

vagrant up 

vagrant ssh 

snappy info 

release: ubuntu-core/devel 

frameworks: docker 

apps: 

$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 















































LT LT LT LT LT 
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6.8.3 


这 一 过 程 会 从 Atlas 上 下 载 komljen/ubuntu-snappy (https://vagrantcloud.com/ 
komljen/boxes/ubuntu-snappy) 镜像 。 如 果 你 不 信任 这 个 镜像 ， 可 以 不 使 用 。 





讨论 





目前 的 Ubuntu Snappy 为 alpha 版 ， 可 以 将 其 视 为 技术 预览 


2014 年 12 月 9 日 ，Canonical 发 布 了 Snappy (https://insights.ubuntu.com/2014/12/09/a-new- 
transactionally-updated-snappy-ubuntu-core/) ， 一 个 基于 Ubuntu Core 的 、 支 持 事务 更 新 的 新 


Linux 发 行 版 。 这 与 迄今 为 止 的 主流 Ubuntu 服务 器 或 者 桌 东 








模型 有 显著 的 不 同 。 
Ubuntu Core (https://wiki.ubuntu.com/Core) 是 一 个 精简 的 root 文件 系统 ， 为 安装 软件 包 提 
供 了 完整 的 操作 系统 功能 。 使 用 Snappy， 你 可 以 在 Ubuntu Core 中 进行 事务 更 新 ， 或 者 进 
行 回 深 。Ubuntu Core 的 实现 ， 参 考 了 Ubuntu 手机 应 用 管理 系统 中 基于 镜像 的 工作 流程 。 
也 就 是 说 ，apt-get 不 能 在 snappy 中 使 用 。 
这 也 使 得 Docker 成 为 Snappy 上 最 合适 的 应 用 框架 。Docker 作为 框架 安装 ， 并 能 够 以 原子 
方式 进行 升级 或 者 回 深 。 

按照 下 面 这 个 示例 进行 操作 。 




















$ apt-get update 
Ubuntu Core does not Use apt-get, see 'snappy 
$ snappy --help 


Commands: 
{info,versions,search,update-versions,update, 
rollback,install,uninstall,tags,build,chroot, 
framework,fake-version,nap} 
info 
versions 
search 
update-versions 
update 
rollback 
install 
uninstall 
tags 
build 
chroot 
framework 








i 系统 中 的 软件 包 或 者 应 用 管理 



































--help'! 


undo last system-image update. 





$ snappy versions 


Part 


Tag Installed Available Fingerprint Active 


Ubuntu-core edge 140 142 184ad1le863e947 * 


为 了 运行 Docker， 需 要 安装 称 为 snappy 的 框架 。 可 以 像 下 面 这 样 查找 并 安装 Docker 框架 


$ snappy search docker 














Part Version Description 

docker 1.3.2.007 The docker app deployment mechanism 

$ sudo snappy instaLL docker 

docker 4 MB [===============] OK 

Part Tag Installed Available Fingerprint Active 
docker edge 1.3.2.007 - bif2f85e77adab * 

$ snappy versions 

Part Tag Installed Available Fingerprint Active 
Ubuntu-core edge 140 142 184adie863e947 * 
docker edge 1.3.2.007 - bif2f85e77adab * 


现在 就 可 以 在 Ubuntu Snappy 上 使 用 Docker 了 ， 如 下 所 示 。 


$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 








在 Ubuntu Snappy 上 享受 运行 Docker 的 乐趣 吧 。 


6.8.4 ”参考 


。 Snappy 公 


公告 ( 


ubuntu-core/) 
。 命令 行 示例 (http:/blog.dustinkirkland.com/2014/12/its-a-snap.html) 


6.9 在 AWS EC2 上 局 动 Ubuntu Core Snappy 


6.9.1 


你 已 经 通过 Vagrant 体验 了 一 下 Ubuntu Snappy (参见 范例 6.8) ， 但 是 你 想 在 公有 云 ， 尤 其 


实例 


问题 


https://insights.ubuntu.com/2014/12/09/a-new-transactionally-updated-snappy- 





是 AWS EC2 上 运行 Snappy。 


6.9.2 解决 方案 





本 范例 涉及 一 些 高 级 内 容 ， 这 需要 你 具备 一 定 的 关于 Amazon AWS 的 知识 。 
尽管 这 里 列 出 了 所 有 的 操作 步 又， 但 是 在 开始 本 范例 之 前 ， 你 可 能 还 需要 阅 
读 一 下 James Murty 编写 的 Programming Amazon Web Services (http://shop. 
oreilly.com/product/9780596515812.do ) 。 








es 
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作为 先决 条 件 ， 你 需要 满足 以 下 要 求 。 


。 一 个 AWS 账号 (http://aws.amazon.com) 


。 一 组 访问 和 安全 API 密 
creds.html) 


钥 (http://docs.aws.amazon.com/general/latest/gr/getting-aws-sec- 


。 一 个 默认 的 允许 SSH 连接 的 AWS 安全 组 
。 一 组 名 为 snappy 的 密 钥 对 
。 一 台 安 装 了 Apache Libcloud (http://libcloud.apache.org) 的 主机 (sudo pip instaLL apache- 


libcloud) 
为 了 尽 可 能 方便 操作 ， 我 准 





一 台 Amazon EC2 实例 。Lib 
的 差异 。 你 也 可 以 通过 简单 











了 一 个 Python 脚本 ， 这 个 脚本 使 用 Apache Libcloud 来 启动 
cloud 是 一 个 API 包 闭 器， 它 抽象 了 各 云 计算 提供 商 API 之 间 
侈 改 这 个 脚本 来 在 其 他 云 计 算 提 供 商 的 平台 上 局 动 Snappy 实 




















例 。 如 果 你 已 经 满足 了 前 面 所 提 到 的 要 求 ， 那 么 就 可 以 进行 如 下 操作 了 。 


$ git clone https://git 
$ cd ch06/snappy-cLoud 


$ ./ec2snappy.py 
54.154.68.31 





hub.com/how2dock/docbook 


当 云 主机 实例 启动 后 ， 可 以 ssh 到 实例 中 并 检查 Snappy 的 版 本 ， 如 下 所 示 。 


$ ssh -i ~/.ssh/id_rsa_ 
$ snappy versions 

Part Tag Inst 
Ubuntu-core edge 141 


剩 下 的 工作 就 是 安装 Docker 


$ snappy search docker 
Part Version Desc 
docker 1.3.2.007 The 
$ sudo snappy install d 
docker 4 MB [= 
Part Tag Installed 
docker edge 1.3.2.007 
$ docker pull ubuntu:14 
Ubuntu:14.04: The image 
511136ea3c5a: PULL comp 
3b363fd9d7da: Pull comp 
607c5d1cca71: Pull comp 
f62feddc05dc: Pull comp 
8eaa4ff06b53: Pull comp 
Status: Downloaded newe 
$ docker images 
REPOSITORY TAG 
ubuntu 14.04 


上 面 的 简单 Python 脚本 中 








snappy ubuntu@54.154.68.31 


alled Available Fingerprint Active 
142 7f068cb4fa876C * 


Snappy 框架 ， 然 后 就 可 以 启动 容 右 了 ， 如 下 所 示 。 





ription 


docker app deployment mechanism 
ocker 
==============] OK 

Available Fingerprint Active 


- bif2f85e77adab * 
.04 
you are pulling has been verified 

Lete 

Lete 

Lete 

Lete 

Lete 

r image for Ubuntu:14.04 


IMAGE ID CREATED VIRTUAL SIZE 
8eaa4ff06b53 9 days ago 192.7 MB 


用 到 了 Libcloud。 这 假设 你 已 经 将 你 的 AWS 密 钥 设置 为 


AWSAccessKeyId 和 ANSSecretKkey 中 的 环境 变量 。 这 个 脚本 会 在 eu_west_1 可 用 区 内 创建 一 
个 m3.mediunm 类 型 的 实例 ， 并 且 允 许 通 过 SSH 连接 到 该 实例 。 最 后 ， 这 个 脚本 将 SSH 密 














钥 对 设置 为 snappy (你 需要 在 运行 该 脚本 之 前 创建 这 个 密 钥 对 ， 并 将 私 钥 保 存 为 ~/.ssh/id_ 
rsa_snappy) ， 如 下 所 示 。 


#!/usr/bin/env python 


import os 
from libcloud.compute.types import Provider 
from libcloud.compute.providers import get_driver 


ACCESS_ID = os.getenv('AWSAccessKeyId') 
SECRET_KEY = os.getenv('AWSSecretKey') 


IMAGE_ID = 'ami-20f34b57' 
SIZE_ID = 'm3.medium' 


cls = get_driver(Provider.EC2_EU_WEST) 
driver = cls(ACCESS_ID, SECRET_KEY) 


sizes = driver.list sizes() 
images = driver.list images() 


size = [s for s in sizes if s.id == SIZE_ID][0] 
image = [i for i in images if i.id == IMAGE_ID][0] 


# 读 取 云 配置 文件 
userdata = "\n".join(open('./cloud.cfg').readlines()) 


# 使 用 你 的 ssh 密 钥 对 名 称 进行 赫 换 

# 你 需要 在 默认 的 安全 组 中 打开 SSH 的 22 端 口 

name = "snappy" 

node = driver.create_node(name=name, image=image,size=size, \ 
ex_keyname='snappy' ,ex_userdata=userdata) 

print node.extra['network_interfaces'] 





如 果 你 想 使 用 EU_WEST 之 外 的 可 用 区 ， 需 要 在 Snappy 的 公告 (http://www. 
ubuntu.com/cloud/tools/snappy) 中 确认 你 想 要 使 用 的 可 用 区 及 其 对 应 的 AMIID。 














6.9.3 讨论 
Snappy 现在 提供 了 对 Amazon AWS、Google GCE 和 Microsoft Azure beta 版 的 支持 ， 如 图 
6-1 所 示 。 
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Microsoft Azure 合 Google coudpetom 
Trythe snappy Ubuntu Core beta Trythe snappy Ubuntu Core beta 
on the Microsoft Azure cloud ， on the Google Compute Engine 
Cloud ， 
@ 
aazon_ Ubuntu 
Try the snappy Ubuntu Core beta Linux users Can also try the snappy 
on the Amazon Elastic Compute Ubuntu Core locally with KVM， 
Cloud ， 











6-1: Snappy 公有 云 beta 版 


你 可 以 按照 Snappy 说 明文 档 (http:/www.ubuntu.com/cloud/tools/snappy) 在 这 些 公 有 云 中 
使 用 各 提供 商 的 命令 行 工具 创建 云 主机 实例 ， 或 者 修改 上 面 提供 的 基于 Libcloud 的 脚本 。 


比如 在 Google GCE (https://cloud.google.com/compute/) 上 ， 创 建 了 账号 并 安装 了 Cloud 
SDK (https://cloud.google.com/sdk/) 之 后 ， 你 就 可 以 通过 GCE Cloud SDK 创建 Snappy 实 
例 了 ， 如 下 所 示 。 


$ gcloud compute instances create snappy-test \ 
--image-project ubuntu-snappy \ 
--image ubuntu-core-devel-v20141215 \ 
--metadata-from-file user-data=cloud.cfg 
Created [https://www.googleapis.com/compute/vi/projects/runseb/zones/\ 
europe-west1-c/instances/snappy-test2]. 
NAME ZONE MACHINE_TYPE INTERNAL_IP EXTERNAL_IP STATUS 
snappy-test2 europe-west1-c ni-standard-1 10.240.250.42 130.211.103.14 RUNNING 
$ ssh -i ~/.ssh/id_rsa_snappy ubuntu@130.211.103.14 


























$ snappy info 
release: ubuntu-core/devel 
frameworks: 


apps: 


享受 云 中 的 Snappy 吧 ! 


6.9.4 参考 


。 使 用 EC2 工具 的 详细 步骤 (http://www.ubuntu.com/cloud/tools/snappy) 
。 Snappy 支持 AWS 的 公告 (http://blog.dustinkirkland.com/2014/12/awsnap-snappy-ubuntu- 
now-available-on.html) 





6.10 在 RancherOS 中 运行 Docker 容 器 


6.10.1 问题 
你 在 寻找 一 个 CoreOS、Ubuntu Snappy 和 Project Atomic 之 外 的 操作 系统 。 


6.10.2 ”解决 方案 


尝试 Rancher Labs (http://rancher.com) 最 新 发 布 的 RancherOS (http://rancher.com/rancher- 
os/) 。RancherOS 是 一 个 精简 版 Linux 发 行 系统 , 只 有 20 MB 大 小 。RancherOS 的 所 有 组 位 
都 是 一 个 Linux 容器 ， 它 移 除 了 systemd 初始 化 系统 ， 而 是 运行 一 个 称 为 system-docker 的 
守护 进程 ， 将 其 作为 PID 为 1 的 进程 ， 并 且 直 接 在 容器 中 运行 Linux 服务 。system-docker 
接着 会 启动 Docker 守护 进程 ， 用 于 运行 应 用 程序 容器 。 


TT 

















RancherOS 发 布 不 久 (http://rancher.com/announcing-rancher-0os/)， 还 处 于 开 
发 阶段 。 














为 了 便于 测试 ，RancherOS 提供 了 一 个 方便 的 Vagrant 项目 (https://github.com/rancherio/ 
os-vagrant)。 下 面 的 四 行 bash 脚本 将 会 帮助 你 启动 并 运行 RancherOS。 


$ git clone https://github.com/rancherio/os-vagrant 
$ cd os-vagrant 

$ vagrant up 

$ vagrant ssh 


然后 你 就 可 以 在 这 台 计 算 机 上 使 用 最 新 版 的 Docker 了 ， 如 下 所 示 。 


[rancher@rancher ~]$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
[rancher@rancher ~]$ docker version 

Client version: 1.7.0 








Server version: 1.7.0 


作为 root 用 户 ， 你 可 以 使 用 system-docker 命令 查看 在 容器 中 运行 的 系统 服务 ， 如 下 所 示 。 


[rancher@rancher ~]$ sudo system-docker ps 


CONTAINER ID IMAGE COMMAND ... NAMES 
bde437da2059 rancher/os-console:v0O.3.3 "/usr/sbin/entry.sh console 
2113b2e191ea rancher/os-ntp:v0.3.3 "/usr/sbin/entry.sh ntp 
a7795940ec89 rancher/os-docker:v0O.3.3 "/usr/sbin/entry.sh docker 
b0266396e938 rancher/os-acpid:v0.3.3 "/usr/sbin/entry.sh acpid 
aa8ge18e59e67 rancher/os-udev:v0.3.3 "/usr/sbin/entry.sh udev 
f7145dfd21c9 rancher/os-sysLog:v0.3.3 "/usr/sbin/entry.sh SySLog 
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6.10.3 ”讨论 


你 也 可 以 在 Amazon EC2 中 找到 RancherOS 的 AMI (https://github.com/rancherio/0s)。 


6.10.4 参考 


。 RancherOS 的 GitHub 主页 (https://github.com/rancherio/0s) 





第 7 章 


Docker 生 态 环境 ;工具 





7.0 简介 


Docker 本 身 非 常 强大 ， 我 们 已 经 学 习 了 关于 Docker 的 所 有 主题 ， 这 些 内 容 会 为 你 带 来 一 
种 全 新 的 编写 分 布 式 应 用 程序 的 方式 。 但 是 ， 其 庞大 而 活跃 的 生态 系统 让 Docker 显得 更 
加 强大 。 本 章 会 对 Docker 生态 系统 的 众多 工具 进行 讲解 。 


一 开始 我 们 会 介绍 Docker 生态 系统 中 那些 来 自 Docker 公司 本 身 的 工具 。 如 果 你 已 经 安装 
了 第 1 章 中 介绍 的 Docker Toolbox， 那 么 这 些 工 具 应 该 已 经 安装 到 了 你 的 系统 之 中 。 如 果 
还 没有 安装 Docker Toolbox， 本 章 相关 的 范例 也 将 分 别 介绍 如 何 安装 这 些 工具 。 首 先 ， 在 
范例 7.1 中 ， 我 们 会 介绍 如 何 使 用 docker-compose。Docker Compose 通过 一 个 YAML 文 
件 来 描述 一 个 多 容器 应 用 程序 。 我 们 会 介绍 本 章 的 第 一 个 例子 WordPress， 并 讲解 Docker 
Compose 的 配置 文件 ， 这 个 配置 文件 通过 使 用 两 个 容器 来 运行 一 个 WordPress 站 点 。 之 
后 ， 在 范例 7.2 中 ， 我 们 会 通过 一 个 更 复杂 的 Compose 例子 ， 来 看 一 下 如 何 部 署 一 个 单 
节点 Mesos (http:/mesos.apache.org) 集群 。 在 Compose 之 后 ， 我 们 会 在 范例 7.3 中 介绍 
Swarm。 作 为 Docker 的 一 个 集群 管理 软件 ，Swarm 允许 你 在 单一 Docker API 接口 下 ， 暴 
露 多 台 Docker 主机 。 从 客户 端 来 说 ， 所 有 的 一 切 看 起 来 与 单 台 Docker 主机 的 设置 相同 ， 
但 是 Swarm 可 以 管理 多 台 Docker 主机 ， 并 在 这 些 Docker 主机 中 对 容器 进行 调度 。 在 范例 
7.4 中， 我 们 会 讲解 如 何 使 用 docker-machine 来 轻松 创建 你 的 Docker Swarm 集群 ， 第 1 章 
已 经 对 docker-machine 作 了 介绍 。 这 个 工具 非常 方便 ， 你 可 以 使 用 docker-machine 在 公有 
云 中 创建 多 台 Docker 主机 ， 并 自动 将 它们 配置 为 一 个 Swarm 集群 。 作 为 对 Docker 公司 提 
供 的 工具 的 总 结 ， 最 后 我 们 会 在 范例 7.5 中 简要 介绍 一 下 Kitematic， 这 是 Docker 的 一 个 桌 
面 用 户 界 卫 


除了 Docker 公司 之 外 ， 还 有 大 量 的 项 目 一 起 构成 了 Docker 的 生态 系统 ， 本 章 的 余下 部 
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分 将 会 对 其 中 一 些 项 目 进行 介绍 。 首 先 ， 在 范例 7.6 中 会 介绍 一 个 基本 Docker Web 界面 ， 
然后 在 范例 7.7 中 会 介绍 一 个 基于 docker-py 的 交互 式 shell。 如 果 你 是 熟悉 配置 管理 工具 
的 系统 管理 员 ， 那 么 对 范例 7.8 应 该 会 比较 感 兴趣 ， 这 一 范例 将 会 介绍 如 何 使 用 Ansible 
playbook 管理 容器 的 部 署 。 


对 容器 进行 编排 也 是 Docker 中 比较 有 意思 的 一 个 话题 。 本 章 会 涉及 的 Docker Swarm 就 
是 一 个 容器 编排 工具 ， 实 际 上 ， 除 此 之 外 还 有 很 多 其 他 的 编排 工具 。 在 范例 7.9 中 我 们 
会 介绍 Rancher， 这 个 编排 工具 有 很 多 有 趣 的 功能 ， 比 如 多 数据 中 心 网 络 、 负 载 平 衡 以 及 
与 Docker Compose 的 集成 等 。 范 例 7.10 中 会 介绍 CloudFoundry Lattice， 这 是 一 个 学 习 
CloudFoundry 如 何 管理 微服 务 应 用 的 非常 好 的 入 门 材料 ， 并 且 它 也 是 Docker 兼容 的 。 我 
们 还 会 深入 学 习 Mesos， 首 先 在 范例 7.11 中 会 介绍 一 下 如 何 构建 一 个 单 节 点 Mesos 沙 箱 ， 
然后 在 范例 7.12 再 来 介绍 如 何 构建 一 个 Mesos 集群 。 


在 本 章 最 后 ， 范 例 7.13 会 介绍 基于 registrator 的 服务 自发 现 机 制 。 当 有 大 量 的 临时 容器 
在 集群 上 运行 时 ， 你 会 希望 有 一 个 系统 可 以 用 来 监测 容器 ， 并 将 它们 注册 到 数据 存储 服务 
中 。 这 个 数据 存储 服务 还 可 以 用 于 服务 定位 ， 确 保 你 的 应 用 程序 保持 运行 状态 。 前 面 提 到 
的 一 些 编排 工具 都 提供 了 服务 发 现 机 制 ， 但 是 如 果 你 想 构 建 自己 的 编排 工具 ，registrator 
将 会 是 一 个 不 错 的 解决 方案 。 


7.1 使 用 Docker Compose 创 建 WordPress 站 点 





































































































7.1.1 问题 


你 已 经 按照 范例 1.16 创建 了 一 个 WordPress 站 点 ， 但 是 你 想 通 过 一 种 更 清晰 的 描述 文 介 
描述 这 个 多 容器 的 配置 ， 并 通过 一 条 命令 就 能 启动 这 些 容器 。 


7.1.2 解决 方案 


使 用 Docker Compose (https://docs.docker.com/compose/) ， 它 是 一 个 用 于 定义 和 运行 多 容器 
Docker 应 用 程序 的 命令 行 工 具 。 使 用 Docker Compose， 你 可 以 在 YAML 文件 中 定义 要 运 
行 的 服务 ， 然 后 通过 docker-compose 命令 来 启动 服务 。 

首先 ， 你 需要 安装 (https://docs.docker.com/compose/) Docker Compose。 你 可 以 通过 
Python 索引 服务 或 者 一 条 curl 命令 来 安装 Docker Compose。 

如 果 使 用 的 是 自己 的 Docker 主机， 可 以 使 用 pip 从 Python 索引 服务 手动 安装 Docker 
Compose， 如 下 所 示 。 


$ sudo apt-get instaLL python-pip 
$ sudo pip install -U docker-compose 


或 者 通过 curl 命令 ， 如 下 所 示 。 


$ curl -L https://github.com/docker/compose/releases/download/1.4.0/\ 
docker-compose- ‘uname -S - Uname -m” > /usr/\local/bin/docker-compose 


来 


TT 






































如 果 是 使 用 我 提供 的 例子 ， 你 只 需要 在 使 用 Docker Compose 之 前 执行 vagrant up 即 可 ， 
如 下 所 示 。 
$ git clone https://github.com/how2dock/docbook.git 
cd docbook/ch07/compose/ 


$ 

$ vagrant up 
$ vagrant ssh 
$ 
d 





docker-compose --version 
ocker-compose 1.4.0 





接 下 来 要 做 的 是 在 YAML 文件 中 定义 组 成 WordPress 应 用 的 两 个 容器 服务 。 每 个 服务 都 
在 一 个 容器 中 运行 。 你 需要 为 每 个 服务 命名 。 在 这 个 例子 中 ， 你 将 WordPress 服务 命名 为 
wordpress， 将 MySQL 服务 命名 为 db。 每 个 服务 还 需要 包括 镜像 的 定义 。 范 例 1.16 中 使 
用 的 命令 行 参数 也 都 需要 在 YAML 文件 中 定义 : 暴露 的 端口 号 、 环 境 变量 和 已 挂 载 的 卷 。 


创建 如 下 的 docker-compose.yml 文本 文件 。( 如 果 你 使 用 了 Vagrant 虚拟 机 ， 这 个 文件 已 经 
被 保存 到 了 /vagrant/docker-compose.yml， 找 到 该 文件 ,) 


wordpress: 
image: wordpress 
Links : 
- mysql 
ports : 
- "80:80" 
environment: 
- WORDPRESS_DB_NAME=wordpress 
- WORDPRESS_DB_USER=wordpress 
- WORDPRESS_DB_PASSWORD=wordpresspwd 
mysql: 
image: mysql 
volumes: 
- /home/docker/mysql:/var/lib/mysql 
environment: 
- MYSQL_ROOT_PASSWORD=wordpressdocker 
- MYSQL_DATABASE=wordpress 
- MYSQL_USER=wordpress 
- MYSQL_PASSWORD=wordpresspwd 


要 想 启 动 这 两 个 容器 ， 你 需要 到 docker-compose.yml 文件 所 在 目录 下 ， 在 命令 行 中 键入 
docker-compose up -d 命令 。 这 两 个 容器 就 会 启动 ， 并 会 通过 Docker 链接 而 链接 起 来 ， 之 后 
你 就 可 以 通过 在 浏览 器 中 打开 http://<ip_of_host> 来 访问 这 个 WordPress 站 点 了 ， 如 下 所 示 。 


























$ docker-compose up -d 
Creating vagrant_mysql_1... 
Creating vagrant_wordpress_1... 
$ docker-compose ps 


Name Command State Ports 
vagrant_mysql_1 /entrypoint.sh mysqld Up 3306/tcp 
vagrant_wordpress_1 /entrypoint.sh apache2-for ... Up 0.0.0.0:80->80/tcp 
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7.1.3 


讨论 





Docker Compose 的 前 身 为 Orchard 团队 开发 过 Fig (http://www.fig.sh)。 在 
Orchard 被 Docker 公司 收购 后 ，Fig 也 更 名 为 Docker Compose。 尽 管 现 在 
Docker Compose 还 是 独立 于 Docker 的 可 执行 文件 ， 但 是 可 以 期 待 将 来 会 
与 Docker CLI 进行 深度 整合 。Docker Compose 的 源 代码 也 可 以 在 GitHub 


(https://github.com/docker/compose) 上 找到 。 


Docker Compose 提供 了 下 面 一 些 命令 来 管理 容器 环境 。 


Fast, isolated development environments Using Docker. 


Commands: 
build Build or rebuild services 
help Get help on a command 
kill Kill containers 
Logs View output from containers 
port Print the public port for a port binding 
ps List containers 
pull Pulls service images 
rm Remove stopped containers 
run Run a one-off command 
scale Set number of containers for a service 
start Start services 
stop Stop services 
restart Restart services 
up Create and start containers 





对 于 每 种 命令 ， 都 可 以 通过 在 其 后 面 加 上 - -hetLp 来 获得 其 帮助 信息 ， 比 如 docker-compose 
kill --help 会 显示 kill 命令 的 使 用 方法 。 很 多 命令 都 需要 指定 一 个 SERVICE 参数 ， 一 


个 服务 就 是 docker-compose.yml 文件 中 为 要 运行 的 容器 











WordPress 服务 ， 然 后 再 启动 该 服务 ， 如 下 所 示 。 








$ docker-compose stop wordpress 
Stopping vagrant_wordpress_1... 
$ docker-compose ps 


Name Command 


vagrant _mysql_1 
vagrant_wordpress_1 
$ docker-compose start wordpress 
Starting vagrant_wordpress_1... 
$ docker-compose ps 

Name 


/entrypoint.sh mysqld 


Command 


vagrant_mysqL_1 
vagrant_wordpress_1 


/entrypoint.sh mysqld 


/entrypoint.sh apache2-for ... 


/entrypoint.sh apache2-for ... 


定义 的 名 称 。 比 如 ， 你 可 以 停止 


State Ports 

Up 3306/tcp 

Exit 0 

State Ports 

Up 3306/tcp 

Up 0.0.0.0:80->80/tcp 





7.2 使 用 Docker Compose 在 Docker 上 对 Mesos 
和 Marathon 进 行 测 试 


7.2.1 问题 


你 对 Apache Mesos (http://mesos.apache.org) 很 感 兴趣 。 这 是 一 个 数据 中 心 资 源 分 配 系统 ， 
Twitter 等 公司 都 在 使 用 Mesos。 为 了 实现 服务 器 利用 率 最 大 化 ，Mesos 可 以 在 不 同类 型 的 
工作 负载 之 间 进 行 多 层次 的 调度 来 共享 资源 。 在 将 Mesos 投入 到 生成 环境 之 前 ， 你 希望 先 
在 一 台 服 务 器 上 试用 一 下 Mesos。 


7.2.2 ”解决 方案 


使 用 Docker Compose (参见 范例 7.1) 在 一 台 Docker 主机 上 通过 一 条 命令 部 署 Mesos， 非 
常 简单 。 

你 需要 启动 四 个 容器 : 一 个 用 于 运行 ZooKeeper (http://zookeeper.apache.org)， 一 个 用 于 运 
行 Mesos 主 节 点 ,一 个 用 于 Mesos 从 属 节 点 ， 还 有 一 个 用 于 运行 Mesos Marathon (https:// 
github.com/mesosphere/marathon) 框架 。 在 Docker Compose 的 YAML 配置 文件 中 定义 
这 四 个 服务 以 及 它们 的 启动 参数 。 可 以 方便 地 启动 这 四 个 容器 。 下 面 是 一 个 通过 Docker 
Compose 部 署 Mesos 的 YAML 描述 文件 的 例子 。 





























Zookeeper : 
image: garLand/zookeeper 
ports : 
- "2181:2181" 
- "2888:2888" 
- "3888:3888" 
mesosmaster: 
image: garland/mesosphere-docker-mesos-master 
ports: 
- "5050:5050" 
Links : 
- Zookeeper :zk 
environment: 
- MESOS_ZK=zk://zk:2181/mesos 
- MESOS_LOG_DIR=/var/log/mesos 
- MESOS_QUORUM=1 
- MESOS_REGISTRY=in_memory 
- MESOS_WORK_DIR=/var/lib/mesos 
marathon: 
image: garLand/mesosphere-docker-marathon 
Links : 
- Zookeeper :zk 
- mesosmaster:master 
Command: --master zk://zk:2181/mesos --zk zk://zk:2181/marathon 
ports : 
- "8080:8080" 
mesosslave: 
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image: garland/mesosphere-docker-mesos-master:latest 
ports: 
- "5051:5051" 
Links : 
- Zookeeper :zk 
- mesosmaster:master 
entrypoint: mesos-slave 
environment: 
- MESOS_HOSTNAME=192.168.33.10 
- MESOS_MASTER=zk://zk:2181/mesos 
- MESOS_LOG_DIR=/var/log/mesos 
- MESOS_LOGGING_LEVEL=INFO 


为 了 访问 Marathon 沙 箱 ， 我 们 在 启动 Mesos 从 属 节点 时 指定 





主机 的 真实 IP 地 址 。 





将 这 个 文件 复制 到 docker-compose.yml， 然 后 启动 Docker Compose， 如 下 所 示 。 


$ ./docker-compose up -d 
Recreating vagrant zookeeper_1... 
Recreating vagrant mesosmaster_1... 
Recreating vagrant_marathon_ 1... 
Recreating vagrant_mesossLave_1... 





环境 变量 


IE SE 人 下 你 需要 将 这 wm 的 Docker 


镜像 下 载 完 毕 ， 容 器 启动 之 后 ， 你 就 可 以 通过 http://<IP_OF_HOST>:5050 来 访问 Mesos 


UI 了 。Marathon UI 则 可 以 通过 该 主机 的 8080 端口 来 访问 





7.2.3 讨论 


如 果 你 已 经 克隆 了 本 书 附 带 的 在 线 仓 库 ， 只 需要 执行 vagrant up 就 可 以 开始 通 
运行 Mesos 了 ， 如 下 所 示 。 


$ git clone https://github.com/how2dock/docbook.git 
$ cd dockbook/ch07/compose 

$ vagrant up 

$ vagrant ssh 

$ cd /vagrant 

$ docker-compose -f mesos.yml up -d 


然后 你 就 可 以 通过 docker -compose 命令 来 管理 容器 了 。 


7.2.4 参考 





过 Docker 


。 七 条 命令 部 署 Mesos (https://medium.com/@gargar454/deploy-a-mesos-cluster-with-7-commands- 


using-docker-57951e020586#.tOkqmb541) 


。 Mesos 框架 (http://mesos.apache.org/documentation/latest/mesos-frameworks/) 





7.3 在 Docker Swarm 集群 上 运行 容器 


7.3.1 问题 


你 知道 如 何在 单 台 主机 上 使 用 Docker。 你 希望 能 够 在 由 多 台 主 机 构成 的 集群 上 运行 容器 ， 
同时 保持 与 在 单 台 主机 上 使 用 Docker CLI 相同 的 用 户 体验 。 


7.3.2 ”解决 方案 


使 用 Docker Swarm (https://github.com/docker/swarm)。Docker Swarm 是 Docker 原生 的 集 
群 工 具 ， 可 以 像 使 用 单 台 Docker 主机 那样 访问 一 组 Docker 主机 。Docker Swarm 是 在 2014 
年 12 月 的 欧洲 Docker 大 会 (http://blog.docker.com/tag/docker-swarm/) 上 发 布 的 。Swarm 
最 初 的 beta 版 则 是 在 2015 年 2 月 26 日 发 布 的 (http://blog.docker.com/2015/02/scaling- 
docker-with-swarm/) 。 在 本 书 编写 之 际 ，Docker Swarm 还 处 于 beta 版 阶段 。 


为 了 方便 测试 Docker Swarm， 我 准备 了 一 套 Vagrant 环境 和 一 个 初始 化 脚本 ， 这 个 脚本 会 
配置 一 个 由 四 个 节点 构成 的 Swarm 集群 。 这 个 集群 有 一 个 头 节 点 和 三 个 计算 节点 ， 所 有 
节点 运行 的 都 是 Ubuntu 14.04 系统 。 为 了 启动 这 个 集群 ， 你 需要 克隆 本 书 附带 的 Git 仓库 
(如 果 你 之 前 还 没有 克隆 过 )， 然 后 进入 ch07 文件 夹 下 面 的 swarm 子 文件 夹 。 之 后 ， 使 用 
Vagrant 这 个 集群 ， 如 下 所 示 。 

$ git clone https://github.com/how2dock/docbook.git 


$ cd docbook/ch07/swarm/ 
$ vagrant up 


你 会 看 到 Vagrant 启动 了 四 台 虚 拟 机 。 这 些 虚 拟 机 将 会 使 用 Vagrantfile 中 定义 的 bash 脚本 
进行 初始 化 ， 如 下 所 示 。 





















































$bootstrap=<<SCRIPT 

apt-get update 

curl -SSL https://get.docker.com/ | sudo sh 

gpasswd -a vagrant docker 

echo "DOCKER_OPTS=\"-H tcp://0.0.0.0:2375\"" >> /etc/default/docker 
service docker restart 

SCRIPT 


$swarm=<<SCRIPT 

apt-get update 

curl -sSL https://get.docker.com/ | sudo sh 
gpasswd -a vagrant docker 

docker pull swarm 

SCRIPT 





当 所 有 的 节点 都 启动 ，Vagrant 命令 返回 之 后 ， 你 可 以 通过 ssh 连接 到 头 节 点 ， 使 用 swarm 
镜像 启动 一 个 Swarm 容器 ， 这 个 镜像 已 经 在 系统 初始 化 的 过 程 中 拉 取 到 本 地 了 。 


$ vagrant ssh swarm-head 
$ docker run -v /vagrant:/tmp/vagrant -p 1234:1234 -d swarm manage \ 
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file://tmp/vagrant/swarm-cluster.cfg -H=0.0.0.0:1234 
72acd5bc00de0b411f025ef6f297353a1869a3cc8c36d687e1f28a2d8f422a06 


这 个 Swarm 服务 器 配置 使 用 了 基于 文件 的 发 现 机 制 。swarm-cluster.cfg 文件 
内 容 是 硬 编码 的 、 由 Vagrant 启动 的 Swarm 节点 列表 。 除 此 之 外 ，Swarm 还 
提供 了 其 他 服务 发 现 方式 (http://docs.docker.com/swarm/discovery/)。 你 可 以 
使 用 Docker 公司 提供 的 发 现 服务 、Consul (https:Wconsulio) 、Etcd (https:// 
github.com/coreos/etcd) 或 者 ZooKeeper (http://zookeeper.apache.org) 等 。 你 


也 可 以 编写 自己 的 服务 发 现 接口 。 











当 Swarm 服务 器 开始 运行 ， 工 作 节 点 都 加 入 集群 之 后 ， 你 就 可 以 使 用 本 地 Docker 客户 端 
来 获取 集群 的 信息 或 者 启动 容器 。 你 需要 在 Docker CLI 中 使 用 -H 参数 来 指定 在 容器 中 运 
行 的 Swarm 服务 器 地 址 以 代替 本 地 的 Docker 守护 进程 ， 如 下 所 示 。 


$ docker -H 0.0.0.0:1234 info 
Containers: 0 
Nodes: 3 
swarm-2: 192.168.33.12:2375 
- Containers: 0 
- Reserved CPUs: 0 /1 
上- Reserved Memory: 0 B / 490 MiB 
swarm-3: 192.168.33.13:2375 
- Containers: 0 
上- Reserved CPUs: 0 /1 
- Reserved Memory: 0 B / 490 MiB 
swarm-1: 192.168.33.11:2375 
- Containers: 0 
上- Reserved CPUs: 0 /1 
- Reserved Memory: 0 B / 490 MiB 


使 用 本 地 Docker 客户 端 并 指定 Swarm 服务 器 地 址 作为 Docker 守护 进程 端点 ， 你 可 以 在 这 
个 Swarm 集群 上 运行 容器 。 比 如 ， 让 我 们 来 启动 一 个 Nginx 容器 ， 如 下 所 示 。 


$ docker -H 0.0.0.0:1234 run -d -p 80:80 nginx 
8399c544b61953fd5610b01be787cb3802e2e54f220673b94d78160dgee35b33 
$ docker -H 0.0.0.0:1234 run -d -p 80:80 nginx 
1b2c4634fc6d9f2c3fd63dd48a2580f466590ddff7405f889ada885746db3cbd 
$ docker -H 0.0.0.0:1234 ps 





CONTAINER ID IMAGE ... PORTS NAMES 
1b2c4634fc6d nginx:1.7 ... 443/tcp, 192.168.33.11:80->80/tcp swarm-1... 
8399c544b619 nginx:1.7 ... 443/tcp, 192.168.33.12:80->80/tcp swarm-2... 





上 面 我 们 启动 了 两 个 Nginx 容器 。Swarm 将 这 两 个 容器 调度 到 了 集群 中 的 两 个 节点 之 上 。 
在 浏览 器 中 访问 http://192.168.33.11 和 http://192.168.33.12， 就 应 该 可 以 看 到 默认 的 Nginx 
页 面 了 。 




















docker run 命令 可 能 会 花 一 些 时 间 才 能 返回 结果 。Swarm 需要 在 集群 中 选择 
一 个 节点 来 运行 容器 ， 并 且 这 个 节点 还 需要 去 拉 取 Nginx 镜像 。 











7 33 “讨论 

在 这 个 例子 中 ，Docker Swarm 服务 器 在 Swarm 头 三 点 上 的 本 地 容器 中 运行 。 你 可 以 通过 
docker ps 命令 看 到 这 个 容器 ， 也 可 以 通过 docker logs 命令 查看 这 个 容器 的 日 志 。 在 这 个 
容器 的 日 志 中 ， 你 会 看 到 启动 Nginx 容器 的 请 求 。 这 其 实 很 有 趣 ， 你 使 用 Swarm 头 节 点 上 
的 Docker 客户 端 来 与 该 节点 上 的 Docker 守护 进程 通信 ，Swarm 服务 器 则 在 本 地 容器 中 运 
行 ， 如 下 所 示 。 





























$ docker ps 
CONTAINER ID IMAGE COMMAND ... PORTS 
72acd5bcOQOde swarm:latest swarm manage ... 2375/tcp, 0.0.0.0:1234->1234/tcp 


$ docker Logs 72acd5bc00de 

.. msg="Listening for HTTP" addr="0.0.0.0:1234" proto=tcp 
. msg="HTTP request received" method=GET uri="/v1.17/info" 
. msg="HTTP request received" method=GET uri="/v1.17/containers/json" 
. msg="HTTP request received" method=POST uri="/v1.17/containers/create" 
. msg="HTTP request received" method=POST uri="/v1.17/containers/.../start" 
. msg="HTTP request received" method=GET uri="/v1.17/containers/json" 

.. msg="HTTP request received" method=POST uri="/v1.17/containers/create" 
. msg="HTTP request received" method=POST uri="/v1.17/containers/.../start" 
. msg="HTTP request received" method=GET uri="/v1.17/containers/json" 


在 这 些 日 志 中 ， 你 会 清楚 地 看 到 向 Swarm 服务 器 发 送 的 、 在 集群 中 启动 Nginx 容器 的 API 
调用 。 
7.3.4 ”参考 


。 Swarm 简介 (https://docs.docker.com/swarm/) 
。 Swarm 安装 文档 (https://docs.docker.com/swarm/install-manual/) 


7.4 使 用 Docker Machine 创 建 跨 云 计算 服务 提 
供 商 的 Swarm 集群 


7.4.1 问题 


你 知道 如 何 手 动 创建 一 个 Swarm 集群 (参见 范例 7.3) ， 但 是 你 想 创建 一 个 “节点 分 布 在 多 
个 公共 云 计算 服务 提供 商 中 ”的 Swarm 集群 ， 并 且 保 持 像 在 本 地 使 用 Docker CLI 那样 的 
用 户 体验 。 


7.4.2 解决 方案 


使 用 Docker Machine (参见 范例 1.9) 在 多 个 云 计算 服务 提供 商 中 启动 Docker 主机 ， 并 在 
对 这 些 主机 进行 初始 化 时 自动 创建 一 个 Swarm 集群 。 


你 需要 做 的 第 一 件 事情 是 获得 一 个 swarm 服务 发 现 令 牌 。 这 个 令 牌 会 在 启动 集群 中 的 节点 
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系统 初始 化 时 用 到 。 如 在 范例 7.3 中 已 经 介绍 过 的 那样 ，Swarm 支持 多 种 服务 发 现 方式 。 
在 这 个 范例 中 ， 我 们 将 使 用 Docker 公司 托管 的 服务 发 现 方式 。 你 可 以 通过 创建 一 个 基于 
swarm 镜像 的 容器 并 执行 create 命令 来 获得 一 个 用 于 服务 发 现 的 令 牌 。 假 设 你 还 没有 连接 
到 一 台 Docker 主机 上 ， 可 以 使 用 docker-machine 创建 一 台 专 门 用 于 获取 服务 发 现 令 牌 的 
Docker 主机 ， 如 下 所 示 。 


$ ./docker-machine create -d virtualbox local 
INFO[0000] Creating SSH key... 


INFO[0042] To point your Docker client at it, run this in your shell: \ 
$(docker-machine env local) 

$ eval "$(docker-machine env local)" 

$ docker run swarm create 

31e61710169a7d3568502boe9fb09d66 


获取 令 牌 之 后 ， 你 可 以 使 用 docker-machine 命令 在 多 个 云 计算 服务 提供 商 中 启动 Swarm 
集群 的 工作 节点 。 你 可 以 在 VirtualBox 上 启动 一 个 头 节 点 ， 在 DigitalOcean 上 (参见 图 
-7) 启动 一 个 工作 节点 ， 在 Azure (参见 范例 8.6) 上 启动 另 一 个 工作 节点 。 


请 不 要 在 公有 云 中 启动 0 节点 ， 同 时 在 本 地 的 VirtualBox 中 启动 工作 
节点 。 这 样 会 带 来 头 节点 不 能 将 网 络 通信 路 由 到 你 本 地 工作 节点 的 风险 。 尽 
管 你 也 可 以 达到 这 个 目的 ， ns 要 在 你 的 本 地 路 由 器 上 打开 端口 。 




















$ docker-machine create -d virtualbox --swarm --swarm-master \ 
--Swarm-discovery token://31e61710169a7d3568502bQe9fb09d66 head 
INFO[0000] Creating SSH key... 


INFO[0069] To point your Docker client at it, run this in your shell: \ 
$(docker-machine env head) 

$ docker-machine create -d digitalocean --swarm --swarm-discovery \ 
token://31e61710169a7d3568502boge9fb09d66 worker-00 


$ docker-machine create -d azure --swarm --swarm-discovery \ 
token://31e61710169a7d3568502boge9fb09d66 swarm-worker-01 


现在 你 的 Swarm 集群 已 经 准备 就 绪 。 你 的 Swarm 头 节点 在 本 地 VirtualBox 虚拟 机 中 运行 ， 
有 一 个 工作 节点 在 DigitalOcean 中 运行 ， 另 一 个 工作 节点 则 在 Azure 上 运行 。 你 可 以 将 本 
地 的 docker-machine 二 进 制 文件 设置 为 使 用 在 VirtualBox 中 运行 的 头 节 点 来 运行 Swarm 子 
命令 ， 如 下 所 示 。 


$ eval "$(docker-machine env --swarm head)" 
$ docker info 
Containers: 4 
Nodes: 3 
head: 192.168.99.103:2376 
L Containers: 2 
L Reserved CPUs: 0 / 4 
L Reserved Memory: 0 B / 999.9 MiB 
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worker-00: 45.55.160.223:2376 
L Containers: 1 
L Reserved CPUs: 0 /1 
L Reserved Memory: 0 B / 490 MiB 
swarm-worker-01: swarm-worker-01.cloudapp.net:2376 
L Containers: 1 
L Reserved CPUs: 0 /1 
L Reserved Memory: 0 B / 1.639 GiB 


7.4.3 讨论 
如 果 要 启动 一 个 新 容器 ，Swarm 会 以 轮 询 方式 在 集群 中 进行 调度 。 比 如 ， 你 可 以 在 一 个 
for 循环 中 启动 三 个 Nginx 容器 ， 如 下 所 示 。 


$ for iin'"seq 13`;do docker run -d -p 80:80 nginx;done 























这 条 命令 会 在 集群 的 三 个 节点 上 ， 启 动 三 个 Nginx 容器 。 记 住 ， 要 想 访问 Nginx 容器 ， 需 
要 打开 你 的 公有 云云 主机 实例 的 80 端口 (参见 范例 8.6) ， 如 下 所 示 。 


$ docker ps 
。 IMAGE ... PORTS NAMES 
. Nginx:1.7 ... 443/tcp, 104.210.33.180:80->80/tcp swarm-worker-01/ 


loving_torvalds 
... Nginx:1.7 ... 443/tcp, 45.55.160.223:80->80/tcp worker-00/drunk_swartz 
. Nginx:1.7 ... 443/tcp, 192.168.99.103:80->80/tcp head/condescending_galileo 





别 忘 了 删除 你 在 云 中 启动 的 虚拟 机 。 


7.4.4 参考 


。 使 用 Docker Machine 和 Docker Swarm (https://docs.docker.com/swarm/install-w-machine/ ) 


7.5 ”使 用 Kitematic Ul 管理 本 地 容器 























与 使 用 命令 行 来 管理 本 地 容器 相 比 ， 你 更 想 使 用 图 形 界面 工具 对 容器 进行 管理 。 


7.5.2 解决 方案 


使 用 Kitematic (https://kitematic.com)。 这 个 工具 可 以 在 OS X 10.9+ 和 Windows 7+ 上 使 用 。 
从 Docker 1.8 开始 ，Kitematic 已 成 为 Docker Toolbox 包 的 一 个 组 件 (参见 范例 1.6)。 
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在 通过 从 官方 网 站 (https://kitematic.com) 下 载 安装 或 者 通过 安装 Docker Toolbox 的 方式 
安装 完 Kitematic 之 后 ， 你 就 可 以 启动 它 了 。 它 将 会 自动 通过 Docker Machine 和 VirtualBox 
来 创建 本 地 Docker 主机 。 在 这 个 Docker 主机 启动 之 后 ， 你 将 会 看 到 Kitematic 的 仪表 盘 
(参见 图 7-1)。 





























OOe@ (@ ) LOGIN 
Containers All Recommended My Repos 
hungry_bartik Recommended 
busybox2 
d kitematic official 
maa_raman 
hello-world-nginx ghost 
registry 
A light-weight nginx container Ghost is a free and open source 
naughty_pare that demonstrates the features of blogging platform written in 
busybox2 Kitematic JavaScript 
testcopy 7 9 oo0c CREATE 7 82 ooo | CREATE 
ubuntu:14.04 上 
official official 
jenkins redis 
Official Jenkins Docker image Redis is an open source key- 
value store that functions as a 
data structure server. 
2 527 oo0 | CREATE ) 985 | cneArE 
[ | 
fficial kitematic 
rethinkdb minecraft 
RethinkDB is an open-source, The Minecraft multiplayer server 
document database that makes it allows two or more players to 
easy to build and scale realtime. play Minecraft together 
Oe9 oo | CREATE ) 16 ooo | CREATE 
fficial official 
be elasticsearch postgres 
Elasticsearch is a powerful open The PostgreSQL object-relational 
source search and analytics database system provides 
engine that makes data easy to... reliability and data integrity. 
DOCKER CL (3) 0 [ 
a ei © 286 000 CREATE 7 918 000 | CREATE 














图 7-1，Kitematic 仪表 盘 


Kitematic 显示 了 默认 的 容器 镜像 ， 也 允许 你 在 Docker Hub 上 搜索 。 在 图 7-1 中 ， 左 侧 显 
示 的 是 本 地 Docker 主机 中 已 有 的 容器 。 你 可 以 通过 Kitematic UI 完成 对 这 些 容器 的 启动 、 
停止 以 及 管理 容器 配置 的 工作 。 

假设 你 想 启 动 一 个 Nginx 容器 。 可 以 在 Kitematic 仪表 盘 顶部 的 查找 框 中 搜索 nginx 镜像 ， 
然后 单 击 Create 按钮 。Docker 会 自动 下 载 镜像 并 启动 容器 。 之 后 你 可 以 进入 设置 窗口 ( 参 
见 图 7-2) 来 查看 该 容器 的 详细 设置 。 你 可 以 停止 这 个 容器 ， 修 改 容器 的 配置 ， 然 后 重启 
该 容器 。 
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hungry_bartik 
busybox2 


mad_raman 
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Container Name 


hello-world-nginx 


Environment Variables 


SAVE 


Delete Container 


DELETE CONTAINER 


General 


Ports Volumes 


Home Settings 


Advanced 








图 7-2，Kitematic 设置 窗口 


使 用 Kitematic 可 以 非常 方便 地 进行 Docker 的 本 地 工作 和 简单 的 容器 


将 来 很 可 能 会 被 集成 到 Docker Compose 和 Swarm 中 ， 以 提供 一 个 用 于 管理 





的 强大 图 形 界面 工具 。 











7.5.3 


参考 


。 Kitematic 官方 网 站 (https:Wkitematic.com ) 


7.6 ”使 用 Docker Ul 管理 容器 


7.6.1 


你 已 经 可 以 登录 到 一 台 Docker 主机 ， 知 道 如 何 管 理 


的 Web 界 


问题 








鲁 来 进行 管 班 














有 
Eo 


7.6.2 解决 方案 


使 用 Docker UI (https:Wgithub.comycrosbymichael/dockerui) 。 尽 管 你 可 以 从 源 代 码 构建 自 








管理 任务 。Kitematic 
生产 环境 部 署 


容器 ， 但 是 你 想 使 用 一 个 简单 
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己 的 Docker UI 镜像 (https://github.com/crosbymichael/dockerui/wiki/Ways-to-run-dockerui)， 
但 是 也 可 以 直接 使 用 Docker Hub (https://registry.hub.docker.com/u/dockerui/dockerui/) 上 的 
Docker UI 镜像 ， 这 样 更 方便 在 容器 中 运行 Docker UI。 


在 你 的 Docker 主机 上 ， 启 动 Docker UI 容器 ， 如 下 所 示 。 


$ docker run -d -p 9000:9000 
--privileged 
-Vv /var/run/docker.sock:/var/run/docker .sock 
dockerui/dockerui 





后 ， 你 可 以 打开 浏览 器 访问 http://<IP_OF_DOCKER_HOST>:9000， 就 会 看 到 Docker 
i 到 7-3 是 Docker UI 的 一 个 例子 。 
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7-3: Docker UI 仪表 盘 


Docker UI 并 非 由 官方 Docker 发 布 的 ， 而 是 一 个 由 社区 维护 的 项 目 (https:// 
github.com/crosbymichael/dockerui ) 。 








7.6.3 讨论 
打开 Docker UI 之 后 ， 你 就 可 以 启动 容器 了 。 进 入 到 Images 选项 卡 ， 选 择 一 个 镜像 ， 然 后 


单 击 Create 按钮 。 之 后 会 弹出 用 于 设置 所 有 容器 启动 选项 的 UI。 不 要 忘 了 HostConfig 选 
项 ， 你 可 以 在 这 里 进行 端口 映射 设置 。 图 7-4 是 Docker UI 的 预览 。 














Create And Start Container From Image 


Container options 


Cmd: 
[“/bin/echo", “Hello world"] 


Input commands as a raw string or JSON array 


Entrypoint: 


entrypoint.sh 


Name: 


Domainname: 


Volumes: 5 0 


MemorySwap: 


Cpuset: 


Input as comma-separated list of numbers 
WorkingDir: 


app 


MacAddress: 


12:34:56:78:9a:bc 


NetworkDisabled: 口 


Tty: 口 


Openstdin: 口 


Stdin0nce: 口 


SecurityDpts: eo 











图 7-4: 通过 Docker UI 启动 一 个 容器 


7.6.4 ”参考 


。 Docker UI 的 wiki 中 有 更 多 信息 (https://github.com/crosbymichael/dockerui/wiki) 


7.7 使 用 Wharfee 交 互 式 shell 


7.7.1 问题 


你 知道 如 何 使 用 Docker CLI， 但 是 你 想 使 用 一 个 具备 自动 补 全 和 历史 记录 功能 的 更 强大 的 


交互 式 shell。 


7.7.2 解决 方案 


使 用 Wharfee (http://wharfee.com)， 这 是 一 个 由 Python 编写 的 交互 式 CLI。Wharfee 使 用 
docker-py (参见 范例 4.10) 和 其 他 一 些 Python 模块 实现 了 一 个 交互 式 shell。 








| 这样 操作 。 














$ sudo pip install wharfee 


在 一 台 Docker 主机 上 ， 安 装 Python 和 包 管 理 命令 行 工具 pip。 然 后 安装 Wharfee。 比 如 在 
Ubuntu 系统 上 ， 可 以 像 下 机 


$ sudo apt-get install python python-pip 





生态 环境 : 





现在 你 就 可 以 使 用 这 个 新 的 强大 的 命令 行 工具 了 。 启 动 Wharfee 后 ， 你 会 进入 到 交互 式 
shell。 在 这 个 shell 里 ， 你 可 以 运行 的 命令 与 Docker 命令 完全 一 样 ， 只 不 过 不 用 再 使 用 
docker 前 组 了 。 在 输入 的 同时 ， 你 也 会 看 到 自动 补 全 提示 和 一 些 语法 高 亮 。 


$ wharfee 

Version: 0.6.5 

Home: http://wharfee.com 
wharfee> images 

There are no images to list. 
wharfee> ps 

There are no containers to list. 


要 想 启动 一 个 容器 ， 需 要 先 拉 取 指 定 的 镜像 ， 如 下 所 示 。 


wharfee> pull nginx:latest 
Pulling from library/nginx latest 

















wharfee> run -d -p 80:80 nginx:latest 
bf96488c76d617b6d3d2f8aea0ff928eff7fe05e61219eb23f865f60631d9f83 
wharfee> ps 

Status Created Image ... Command Ports 


Up 2 seconds now nginx:latest ... nginx -g 'daemon off;' 443/tcp, 80/tcp 


Wharfee 是 一 个 很 不 错 的 CLI 工具 ， 具 有 自动 补 全 和 语法 高 亮 功能 ， 使 用 起 来 非常 方便 。 


7.7.3 参考 


。 Wharfee 源 代码 (https://github.com/j-bennet/wharfee) 
。 Wharfee 官方 网 站 (http://wharfee.com) 


7.8 使 用 Ansible 的 Docker 模 块 对 容器 进行 编排 











7.8.1 问题 
你 已 经 积累 了 一 些 使 用 Ansible We com/home) 进行 服务 器 配置 和 对 应 
用 程序 部 署 进行 编排 的 经 验 。 现在 ， 你 希 分 利用 这 些 经 验 ， 使 用 Ansible 来 管理 








Docker 容器 。 


7.8.2 解决 方案 


使 用 Ansible 的 Docker 模块 (http://docs.ansible.com/docker_module.html)。 这 个 模块 是 
Ansible 核心 的 一 部 分 ， 因 此 在 安装 完 Ansible 之 后 ， 你 不 需要 再 安装 额外 的 软件 包 。 
Ansible 将 会 在 你 的 本 地 主机 上 运行 ， 通 过 SSH 连接 到 远程 Docker 主机 ， 使 用 docker-py 
API 客户 端 对 Docker 守护 进程 发 起 请 求 。 


比如 ， 要 想 以 后 台 方 式 启 动 一 个 Nginx 容器 并 设置 端口 映射 ， 可 以 使 用 下 面 的 Ansible 
playbook (http://docs.ansible.com/playbooks.htm!l)。 


证 
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- hosts: nginx 
tasks : 
- _ name: Run nginx container 
docker: image=nginx:latest detach=true ports=80:80 





讨论 如 何 使 用 Ansible 已 经 超出 了 本 范例 的 范畴 ， 你 可 以 参考 一 下 Ansible 的 
文档 (http:/docs.ansible.com ) 。 





7.8.3 ”讨论 

为 了 帮助 你 快速 学 会 使 用 Ansible 的 Docker 模块 ， 你 可 以 使 用 本 书 范例 附带 的 Vagrantfile 
文件 。 这 个 Vagrantfile 将 会 启动 一 个 虚拟 机 作为 Docker 主机 ， 里 面 安装 了 docker-py 客户 
端 。 此 外 还 为 你 准备 了 两 个 playbook、 一 个 inventory 文件 以 及 一 些 Ansible 的 配置 文件 ， 
你 可 以 直接 拿 来 使 用 。 

第 一 个 任务 是 需要 在 你 的 本 地 主机 上 安装 Ansible， 如 下 所 示 。 


$ sudo pip install ansible 
然后 测试 Nginx playbook， 可 以 按照 下 面 的 命令 操作 。 


$ git clone https://github.com/how2dock/docbook.git 
$ cd ch07/ansible 
$ tree 














| 一 README .md 

| 一 Vagrantfile 

| 一 ansible.cfg 

| 一 dock.yml 

| 一 inventory 

| 一 solo 

| FF vagrantfile 
| dock.yml 
[一 wordpress.yml 

$ vagrant up 


解决 方案 部 分 中 提 到 的 Nginx playbook 在 dock.yml 文件 中 。 要 想 使 用 Ansible 启动 这 个 
容器 ， 你 可 以 执行 这 个 playbook。 当 这 个 playbook 执行 完毕 之 后 ， 打 开 你 的 浏览 器 访问 
http://192.168.33.10， 就 能 看 到 Nginx 的 欢迎 页 面 。 你 也 可 以 通过 vagrant ssh 登录 到 该 虚 
拟 机 ， 然 后 使 用 通常 的 docker ps 命令 来 查看 正在 运行 中 的 容器 。 

$ ansible-playbook -uU vagrant dock.yml 


PLAY [nginx] 类 火炎 火 火 火炎 火炎 火炎 火炎 淡淡 火 火炎 火炎 类 大 淡淡 火 火 火 火炎 类 类 炎炎 淡淡 火 火 火炎 火炎 三 炎炎 火炎 火炎 炎炎 火炎 火炎 淡淡 火炎 火炎 炎 大 大 火炎 类 

















GATHERING FACTS 兴 兴 火 兴 光 光 光 炎炎 火光 天 火光 光大 火光 交火 天 天 大 火炎 光 光 光 类 大 火光 天火 天光 大 关头 炎炎 天 天火 类 类 炎炎 光大 火 尖 天 炎炎 类 火炎 大 大火 天 大 


ok: [192.168.33.10] 


TASK: [Run nginx container] 类 淡淡 火 火 火炎 炎炎 炎炎 淡淡 火 火 火炎 火炎 炎炎 淡淡 火 火炎 炎炎 火炎 类 淡淡 火 火 火 火炎 炎 注 大 火炎 火 火 火炎 火炎 炎炎 


changed: [192.168.33.10] 
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PLAY RECAP 火光 兴 光 光 光 火光 尖 炎 火炎 类 火光 类 炎炎 天 类 火炎 类 类 类 类 炎炎 天 天 炎炎 炎炎 大 光 炎炎 类 天 天火 类 炎炎 尖 类 火炎 天 类 类 类 炎炎 尖 天火 火 火炎 类 类 类 火炎 天 大 


192.168.33.10 : ok=2 changed=1 unreachable=0 failed=0 


你 可 以 在 虚拟 机 中 通过 docker kill 命令 终止 容器 ， 或 者 运行 一 个 playbook 来 将 容器 的 状 
态 设 置 为 kitlled， 如 下 所 示 。 
- hosts: nginx 
tasks: 


- Name: Kill nginx container 
docker: image=nginx:latest detach=true ports=80:80 state=killed 


如 果 你 想 尝试 一 个 更 复杂 的 例子 ， 可 以 使 用 WordPress 的 playbook wordpress.yml。 你 已 经 
部 署 过 多 次 WordPress 了 (参考 范例 1.15 或 范例 1.16)。 运 行 这 个 playbook， 然 后 打开 六 
览 器 访问 http:/192.168.33.10， 你 就 可 以 再 次 享受 WordPress 了 。( 在 这 之 前 需要 先 终止 占 
用 了 80 端口 的 容器 ， 否 则 会 出 现 端口 冲突 错误 。) 


$ ansible-playbook -uU vagrant wordpress.yml 





























PLAY [wordpress] 炎炎 炎炎 火光 兴 光 炎炎 炎炎 类 火炎 类 类 类 光 类 炎炎 尖 类 火炎 天 类 类 类 炎炎 类 大 火炎 火炎 火光 炎炎 天 类 火炎 类 天 类 类 类 炎炎 类 大火 天 类 类 类 大 类 


GATHERING FACTS 炎炎 光 兴 炎炎 火光 炎炎 炎炎 光 类 火炎 类 天 类 类 类 炎炎 类 类 火炎 天 类 类 炎炎 大头 类 炎炎 大 炎炎 炎炎 类 大 大 火炎 类 天 火光 类 炎炎 类 类 火炎 天 类 类 天 类 


ok: [192.168.33.10] 


TASK : [Docker pull mysql] 类 淡淡 火 火 火炎 淡淡 炎炎 炎炎 淡淡 火 火 炎炎 大 类 炎炎 炎炎 火炎 火炎 大 汪汪 火炎 火炎 火炎 类 大 六 洲 火炎 炎炎 大 类 炎炎 大 炎炎 


changed: [192.168.33.10] 


TASK: [Docker pull wordpress] 炎炎 炎炎 炎炎 光 光 炎炎 类 大 类 类 火炎 类 类 炎炎 类 炎炎 大 火炎 类 类 类 类 类 火炎 大 类 火炎 大 类 类 类 火炎 大 大 大火 天 大 


changed: [192.168.33.10] 


TASK : [Run mysql container] 炎 光 炎炎 火光 兴 光 大 炎炎 炎炎 火 火光 类 炎炎 炎炎 关头 炎 火炎 类 火光 类 炎炎 大火 火炎 天 类 类 类 火炎 光大 火炎 天 火炎 类 类 


ok: [192.168.33.10] 


TASK : [Run wordpress container] 类 淡淡 淡淡 火 火炎 火炎 类 炎炎 淡淡 火 火 火炎 炎炎 类 炎 洲 汪汪 火炎 类 汪 大 类 类 淡淡 火 火 火炎 类 类 大业 火炎 炎炎 


changed: [192.168.33.10] 


PLAY RECAP 火光 兴 光 光 光 炎炎 类 火炎 火炎 类 炎炎 炎炎 天 类 炎炎 类 类 光大 炎炎 类 天 炎炎 炎炎 尖 交火 火光 天 天 炎炎 炎炎 类 大 类 类 类 类 炎炎 天 类 大 大 类 火炎 类 类 类 类 大 类 天 大 


192.168.33.10 : ok=5 changed=3 unreachable=0 failed=0 

















由 于 Ansible 的 playbook 都 是 YAML 格式 的 ， 你 会 注意 到 上 面 的 playbook 文件 和 范例 7.1 
中 WordPress 的 Docker Compose 文件 很 像 ， 如 下 所 示 。 


- hosts: wordpress 
tasks: 


- Name: Docker pull mysql 
command: docker pull mysql:latest 


- Name: Docker pull wordpress 
command: docker pull wordpress:latest 


- Name: Run mysql container 
docker: 
name=mysql 
image=mysql 
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detach=true 
env="MYSQL_ROOT_PASSWORD=wordpressdocker ,MYSQL_DATABASE=wordpress, \ 
MYSQL_USER=wordpress,MYSQL_PASSWORD=wordpresspwd" 


- Name: Run wordpress container 
docker: 
image=wordpress 
env="WORDPRESS_DB_NAME=wordpress ,WORDPRESS_DB_USER=wordpress, \ 
WORDPRESS_DB_PASSWORD=wordpresspwd" 
ports="80:80" 
detach=true 
links="mysql:mysql" 


你 已 经 在 本 地 主机 上 直接 运行 了 playbook， 不 过 Vagrant 提供 了 一 个 Ansible 配 


置 程序 。 也 就 是 说 ， 你 可 以 在 VM 启动 时 运行 playbook。 进 入 到 ch07/ansible/ 
solo 文件 夹 ， 然 后 运行 vagrant up，Nginx 容器 也 会 随 着 VM 自动 启动 。 





7.8.4 ”参考 
。 Ansible: Up and Running 中 关于 Docker 模块 的 章节 (http://shop.oreilly.com/product/0636920035626.do) 


7.9 在 Docker 主 机 集群 中 使 用 Rancher 管 理 容 器 


7.9.1 问题 


你 需要 在 生产 环境 中 使 用 能 支持 多 主机 网 络 的 系统 来 管理 容器 ， 一 个 覆盖 网 络 人 允许 容器 可 
以 不 通过 复杂 的 端口 映射 配置 就 可 以 互相 通信 。 你 也 希望 这 个 系统 支持 分 组 管理 ， 而 且 还 
能 提供 一 个 功能 强大 的 仪表 盘 。 


7.9.2 解决 方案 


可 以 考虑 使 用 来 自 Rancher Labs (http://rancher.com) 的 Rancher (http://rancher.com/rancher-io/)， 
Rancher Labs 也 是 RancherOS 的 开发 者 (参见 范例 6.10 )。 它 安装 起 来 比较 简单 ， 你 需要 一 
个 以 容器 方式 运行 的 管理 服务 器 ， 以 及 一 个 同样 以 容器 方式 运行 的 工作 代理 。 
为 了 方便 对 Rancher 进行 测试 ， 以 及 确认 一 下 Rancher 是 否 能 满足 你 的 需求 ， 你 可 以 从 
GitHub (https://github.com/rancherio/rancher) 克隆 Rancher 项 目的 仓库 ， 通 过 Vagrant 在 本 
地 局 动 一 个 虚拟 机 ， 如 下 所 示 。 

$ git clone https://github.com/rancherio/rancher .git 


$ cd rancher 
$ vagrant up 


上 面 命令 启动 的 虚拟 机 基于 CoreOS (参见 范例 6.1)， 不 过 你 也 可 以 使 用 任何 能 运行 


Docker 的 操作 系统 。 这 个 Vagrantfile 文件 包括 两 个 初始 化 的 配置 步骤 ， 一 个 用 于 安装 管 
理 服务 器 ， 一 个 用 于 安装 工作 代理 。 这 两 个 步骤 都 使 用 了 Docker 镜像 来 运行 相应 的 软件 。 


SN 
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你 也 可 以 在 自己 的 计算 机 上 使 用 这 些 命令 来 运行 Rancher。 


在 Rancher 仪表 盘 页 面 ， 如 果 单 击 Add Host 按钮 ， 你 将 会 看 到 为 了 将 新 主机 
加 入 到 Rancher 部 署 中 ， 你 需要 在 其 他 主机 上 运行 的 完整 的 Docker 命令 。 


$ docker run -d -p 8080:8080 rancher/server:latest 
$ docker run -e CATTLE_AGENT_IP=172.17.8.100 --privileged -e WAIT=true \ 
-Vv /var/run/docker.sock:/var/run/docker.sock \ 
rancher/agent:Latest http://Llocalhost:8080 


当 Vagrant 主机 启动 之 后 ，Rancher 镜像 将 会 被 下 载 ， 同 时 会 启动 两 个 容器 ， 之 后 你 就 可 以 
通过 http://localhost:8080 访问 Rancher 仪表 盘 。 














如 果 你 本 地 主机 上 的 8080 端口 已 经 被 占用 ， 那 么 Vagrant 将 会 选择 其 他 端口 
来 运行 Rancher UI。 不 过 你 始终 可 以 通过 使 用 主机 网 络 来 访问 Rancher UI， 
网 址 为 http://172.17.8.100:8080。 


























这 个 仪表 盘 将 只 会 显示 一 台 主 机 ， 并 且 没 有 运行 中 的 容器 。 单 击 Add Container， 进 入 设置 

。 启动 参数 的 页 面 (参见 图 7-5 )。 你 可 以 展开 Advanced Options 区 域 来 设置 诸如 环境 变 
、 卷 、 网 络 和 容器 的 内 核能 力 〈 比 如 内 存 、 特 权 模 式 等 )。 默 认 情况 下 ， 容 器 的 网 络 模式 

六 jE 管 网 络 ， 这 种 模式 会 使 用 一 个 覆盖 网 络 。 不 过 你 也 可 以 使 用 默认 的 Docker 网 络 模式 。 
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Publish all ports to random host port 
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7-5: 通过 Rancher UI 启动 容器 








考虑 到 Docker 的 网 络 实现 还 可 能 会 有 变动 ， 因 此 这 个 范例 并 不 会 对 Rancher 
的 覆盖 网 络 本 身 展开 讲解 。 可 以 参考 第 3 章 获 得 更 多 信息 。 








Rancher 将 会 构建 一 个 覆盖 网 络 ， 尽 管 我 们 这 个 例子 是 在 一 台 主 机 上 。Rancher 会 在 覆盖 网 
络 的 卫 地址 范围 内 启动 容器 。 如 果 你 将 容器 的 端口 映射 到 宿主 机 的 端口 上 ， 就 可 以 通过 浏 
览 器 访问 该 容器 。 举 例 来 说 ， 如 果 你 启动 一 个 Nginx 容器 并 将 它 的 端口 映射 到 宿主 机 的 80 
端口 上 ， 就 可 以 访问 到 Nginx 的 欢迎 页 面 。 创 建 完成 的 容器 界面 如 图 7-6 所 示 。 
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rancher 


nginx 











图 7-6: 显示 了 运行 中 容器 的 Rancher 仪表 盘 





到 目前 为 止 ， 你 已 经 拥有 了 一 个 可 以 进行 测试 的 Rancher 环境 。 你 可 以 浏览 一 下 Rancher 
仪表 盘 。Containers 选项 卡 显 示 了 所 有 运行 中 的 容器 。 你 可 以 打开 一 个 链接 到 容器 的 
shell， 并 启动 和 停止 容器 。Volumes 选项 卡 显示 了 当前 使 用 的 所 有 卷 ， 当 前 能 通过 仪表 盘 
对 卷 进行 的 处 理 也 很 有 限 。 最 后 ， 你 可 以 定义 一 个 现 有 的 私有 registry， 或 者 定义 一 个 负载 
平衡 器 。 


7.9.3 讨论 

到 这 里 ， 你 的 所 有 操作 都 是 通过 Rancher 仪表 盘 来 完成 的 。 实 际 上 Rancher 还 提供 了 一 
套 REST API 来 管理 它 的 所 有 资源 。 要 想 使 用 这 些 API， 你 需要 先 创 建 一 组 API 访问 标识 
和 密 钥 。 你 可 以 通过 单 击 仪表 盘 右 上 角 的 User 图 标 然后 选择 API & Keys 选项 。 尽 管 在 
GitHub 的 页 面 上 并 没有 关于 这 些 API 的 详细 说 明 ， 不 过 在 Rancher 仪表 盘 中 你 可 以 方便 地 


浏览 这 些 API。 












































Docker 生 态 环境 : 工具 | 195 

















你 可 以 通过 仪表 盘 来 管理 一 个 运行 中 的 容器 。 单 击 这 个 容器 ， 你 会 看 到 用 于 查看 API 的 选 
项 。 单 击 这 个 选项 就 可 以 查看 这 个 API 的 详情 。 这 re API 的 功能 会 以 JSON 对 象 的 格 
式 显 示 容 器 的 描述 信息 以 及 一 些 可 以 对 该 容器 采取 的 操作 (UI 中 的 绿 框 )。 选 择 其 中 的 一 
个 操作 会 打开 一 个 新 窗口 ， 显 示 你 可 以 使 用 的 API 请 求 。 这 是 一 个 非常 好 的 学 习 Rancher 
API 的 方式 ， 你 也 可 以 据 此 来 编写 自己 的 Rancher 客户 端 。 图 7-7 是 一 个 用 于 停止 容器 的 
请 求 示 例 。 


























API Request 


cURL command line: 


Curl -u "${CATTLE_ACCESS_KEY}:${CATTLE_SECRET_KEY}" \ 

-X POST \ 

-H “Accept: application/json' \ 

-H“Content-Type: application/json’ \ 

-d '{"remove":true, "timeout":0, "deallocateFromHost":true}' \ 
"http://172.17.8.100:8080/v1/containers/1il/?action=stop" 


HTTP Request: 


HTTP/1.1 POST /v1/containers/1i1/?action=stop 
Host: 172.17.8.100:8080 

Accept: application/json 

Content-Type: application/json 
Content-Length: 53 


{ 
remove: true, 
timeout: 0, 
deallocateFromHost: true, 


了 











图 7-7: Rancher API 请 求 示例 


7.10 使 用 Lattice 在 集群 中 运行 容器 


7.10.1 问题 


你 在 寻找 一 个 对 容器 进行 编排 的 系统 ， te et si 此 外 ， 你 有 
一 些 Cloud Foundry 的 经 验 ， 并 且 对 Cloud Foundry 管理 容器 的 方式 感 兴 


7.10.2 解决 方案 


使 用 Lattice (http:Wlattice.cf) 。Lattice 是 一 个 面向 基于 容器 的 应 用 程序 的 集群 调度 器 ， 它 包 
括 一 个 HTTP 负载 平衡 器 、 日 志 聚 合 、 健 康 管 理 和 应 用 程序 的 动态 扩容 、 缩 容 的 功能 。 这 
个 轻 量 级 的 调度 器 为 开发 人 员 带 来 了 原生 云 应 用 和 PaaS 平台 Cloud Foundry (https://www. 
cloudfoundry.org) 的 体验 。 


为 了 快速 入 门 ， 你 可 以 按照 Lattice 官方 网 站 (http://lattice.cf/docs/getting-started/) 的 入 门 


夺 
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指南 进行 操作 。 这 个 入门 指南 使 用 了 一 个 Vagrant 虚拟 机 在 你 的 本 地 计算 机 上 部 署 一 个 
Lattice cell。 在 安装 完 最 新 版 的 Lattice 客户 端 程 序 ttc 之 后 ， 就 可 以 与 你 的 Lattice 服务 进 
行 通信 并 部 署 Docker 镜像 了 。 


让 我 们 克隆 Lattice 项 目 ， 切 换 到 最 新 的 发 布 版 本 ， 然 后 启动 Vagrant 虚拟 机 ， 如 下 所 示 。 


$ git clone https://github.com/cloudfoundry-incubator/lattice.git 
$ cd lattice 

$ git checkout vO.3.0 

$ vagrant up 





==> default: Lattice is now installed and running. 
==> default: You may target it using: ltc target 192.168.11.11.xip.io 
==> default: 


下 载 ltc 命令 行 工 具 ， 并 设置 为 可 执行 权限 。 比 如 ， 为 了 将 该 工具 添加 到 你 的 PATH 中 ， 可 
以 使 用 下 面 的 命令 。 

$ sudo wget https://lattice.s3.amazonaws.com/releases/latest/darwin-amd64/ltc \ 

-0 /usr/local/bin/ltc 

$ sudo chmod +x /usr/LocaL/bin/Ltc 
现在 就 可 以 配置 这 个 命令 行 工 具 ， 让 它 指向 你 在 Vagrant 中 部 署 的 本 地 Lattice 服务 了 。 按 
照 Vagrant 启动 时 输出 的 消息 操作 ， 并 使 用 ttc 工具 ， 如 下 所 示 。 

$ ltc target 192.168.11.11.xip.io 


Blob store is targeted. 
Api Location Set 


现在 剩 下 的 工作 就 是 通过 ltc create 命令 来 启动 容器 了， 指定 一 个 你 想 要 运行 的 Docker 
Hub 中 的 Docker 镜像 。 作为 二 个 简单 的 测试 ， 让 我 们 在 Lattice 中 启动 一 个 nginx 容器 ， 
如 下 所 示 。 


$ ltc create nginx-app nginx -r 


























nginx-app is now running. 
App is reachable at: 
http://nginx-app.192.168.11.11.xip.io 


当 应 用 程序 创建 完成 之 后 ， 你 可 以 通过 ttc 命令 返回 的 URL 来 访问 这 个 应 用 。 这 个 URL 
使 用 了 xip.io fh ean je) 泛 域名 服务 。 通 过 该 DNS 服务 ， 你 可 以 更 容易 地 通过 DNS 名 
来 访问 本 地 网 络 上 的 服务 。 

在 这 个 例子 中 ， 如 果 你 在 浏览 器 中 打开 http://nginx-app.192.168.11.11.xip.io， 就 会 看 到 
Nginx 的 欢迎 页 面 。 


你 可 以 使 用 ttc scale 命令 很 轻松 地 调整 一 个 应 用 程序 实例 的 数量 ， 使 用 Ltc rm 命令 来 停 
止 一 个 应 用 程序 ， 以 及 很 多 其 他 的 操作 任务 。 运 行 ltc help 可 以 获得 更 多 帮助 信息 。 


Ee 























L103 讨论 
通过 Vagrant 启动 的 Lattice cell 并 没有 运行 Docker 引擎 。 但 是 你 在 运行 时 使 用 了 Docker 
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镜像 并 且 Lattice 能 够 正常 工作 。 实 际 上 ，Lattice 运行 时 先是 将 Docker 镜像 的 文件 系统 展 
开 ， 然 后 在 自己 的 容器 运行 时 中 运行 该 应 用 程序 。 

这 个 例子 中 的 做 法 其 实 有 一 个 副作用 : 为 了 Nginx 能 部 署 成 功 ， 你 需要 指定 以 root 身份 来 
运行 应 用 。 这 是 通过 ltc create 命令 的 -r 选项 来 实现 的 。 

尽管 这 个 基本 的 示例 使 用 了 Vagrant， 但 实际 上 使 用 Terraform (https://github.com/ 
cloudfoundry-incubator/lattice/tree/master/terraform) Lattice 能 够 在 很 多 公有 云 上 部 署 。 





7.10.4 ”参考 


。 在 Lattice 中 使 用 buildpacks (http://www.chipchilders.com/blog/2015/8/12/buildpacks-in- 
lattice.html) 





7.11 通过 Apache Mesos 和 Marathon 运 行 容 器 


7.11.1 问题 

你 在 寻找 一 个 集群 调度 器 ， 用 于 在 你 数据 中 心 的 Docker 主机 上 局 动容 器 。 你 也 许 已 经 党 
试 过 了 在 Apache Mesos 上 调度 长 时 间 运 行 的 任务 、 定 时 任务 ， 甚 至 Hadoop 或 者 并 行 计算 
处 理 ， 现 在 你 想 在 Mesos 上 运行 容器 。 


7.11.2 ”解决 方案 


使 用 Apache Mesos (http://mesos.apache.org) 和 Docker 容器 化 (containerizer)。Mesos 是 
一 个 利用 多 种 调度 框架 来 最 大 化 你 的 数据 中 心 资源 利用 率 的 集群 资源 分 配 工具 。 很 多 大 公 
司 ， 包 括 eBay、Twitter、Netflix、Airbnb 等 (http://mesos.apache.org/documentation/latest/ 
powered-by-mesos/) ， 都 在 使 用 Mesos。 

















Mesos 架构 (http://mesos.apache.org/documentation/latest/mesos-architecture/) 包括 一 台 或 者 

台 主 节点 以 及 工作 节点 (或 被 称 为 Mesos 从 属 节点 ) ， 一 个 或 者 多 个 在 Mesos 集群 上 部 
署 的 调度 框架 ， 以 及 一 个 使 用 了 ZooKeeper (http://zookpeeper.apache.org) 的 服务 发 现 系 
统 。 在 范例 7.2 中 ， 你 已 经 了 解 了 如 何 使 用 Docker Compose 在 单 节 点 上 启动 一 个 测试 用 的 
Mesos 基础 设施 。 





Marathon (http://mesos.apache.org/documentation/latest/mesos-frameworks/) 是 一 个 允许 你 
在 Mesos 集群 中 运行 任务 的 Mesos 框架 。Mesos 支持 Docker ( 即 Docker 容器 化 )。 也 就 是 
说 ， 你 可 以 启动 由 Docker 容器 构成 的 Marathon 任务 。 


Amazon ECS 服务 (参见 范例 8.11) 也 可 以 使 用 Mesos 在 AWS 上 对 容器 进 
行 调度 。Docker Swarm (参见 范例 7.3) 也 计划 增加 对 基于 Mesos 的 调度 的 
支持 。 








这 个 范例 将 要 使 用 Mesos Playa (https://github.com/mesosphere/playa-mesos)， 它 是 一 个 
DO ne 


作为 开始 ， 先 从 GitHub 上 克隆 playa-mesos 这 个 仓库 ， 通 过 Vagrant 启动 虚拟 机 ， 然 后 
ssh 到 虚拟 机 中 ， 如 下 所 示 。 


$ git clone https://github.com/mesosphere/playa-mesos.git 

$ vagrant up 

$ vagrant ssh 
虚拟 机 启动 之 后 ， 你 可 以 通过 http:/10.141.141.10:5050 访问 Mesos Web 界面 ， 以 及 通过 
http://10.141.141.10:8080 访问 Marathon UI。 


讨论 如 何 使 用 Mesos (http:/mesos.apache.org) 和 Marathon (http://https://mesosphere. 
github.io/marathon/) 已 超出 了 本 书 范围 ， 可 以 访问 这 两 个 网 站 来 获得 更 多 信息 。 

















你 可 以 通过 Marathon 提供 的 一 套 REST API 来 启动 任务 。Marathon 的 任务 以 JSON 文件 的 
格式 来 定义 ， 并 通过 curl 命令 提交 到 API 端点 。 下 面 是 一 个 使 用 JSON 描述 的 Marathon 
示例 任务 。 





{ 
"id": "http", 
"cmd": "python -m SimpleHTTPServer $PORTO", 
"mem": 50, 
"cpus": 0.1， 


"instances": 1， 
"constraints": [ 
["hostname", "UNIQUE"] 


]， 
"ports": [0] 
} 

其 中 id 是 任务 的 名 称 (在 Marathon 中 也 被 称 为 应 用 程序 )。cmd 表明 了 应 用 程序 将 要 运行 
的 命 命令 (这 里 是 一 个 使 用 Python 编写 的 简易 HTTP 服务 器 )。 值 得 重点 一 提 的 是 ports 的 
使 用 ， 这 里 它 被 设置 为 一 个 只 包含 一 个 9 的 列表 。 这 样 设置 表示 Marathon 会 自动 为 这 个 应 
用 程序 分 配 一 个 端口 号 。 这 个 动态 端口 号 会 以 变量 $PORT9 的 形式 传 给 cmd。 

将 上 面 的 JSON 定义 保存 到 文件 并 命名 为 testjson， 然 后 通过 curt 命令 来 提交 这 个 应 用 
程序 。 


$ curl -is -H "Content-Type: application/json" 
-d @test.json 10.141.141.10:8080/v2/apps 
HTTP/1.1 201 Created 









































当 应 用 程序 启动 之 后 ， 你 将 会 在 UI 中 看 到 这 个 应 用 (参见 图 7-8)， 也 可 以 通过 指向 刚刚 
启动 的 HTTP 服务 器 的 URL 来 访问 该 应 用 程序 。 注 意 ， 端 口号 是 动态 分 。 
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7-8: Marathon Ul 中 的 HTTP 服务 











下 面 让 我 们 来 启动 一 个 由 Docker 容器 组 成 的 应 用 程序 。 上 默认 情况 下 ，Playa Mesos 启动 的 
虚拟 机 里 面 已 经 安装 了 Docker， 但 是 Mesos 从 属 节 点 并 没有 配置 好 来 使 用 Docker。 因 此 ， 
你 需要 进行 一 点 修改 ， 然 后 重启 mesos-slave。 在 虚拟 机 中 执行 如 下 命令 。 


vagrant@mesos:~$ sudo su 

root@mesos:/home/vagrant# cd /etc/mesos-slave 
root@mesos:/etc/mesos-slave# echo 'docker,mesos' > containerizers 
root@mesos:/etc/mesos-salve# echo '5mins' > executor_registration timeout 
root@mesos:/etc/mesos-slave# service mesos-slave restart 

mesos-slave stop/waiting 

mesos-slave start/running, process 2581 


创建 下 面 的 JSON 文件 (比如 docker.json) 来 定义 一 个 用 于 启动 Nginx 容器 并 使 用 Docker 
主机 动态 端口 分 配 的 应 用 。 
下 


"container": { 
"type": "DOCKER", 
"docker": { 
"image": "nginx", 
"network": "BRIDGE", 
"portMappings": [ 
{ "containerPort": 80, "hostPort": 0 } 












































] 
} 
护 
"id": "nginx", 
"instances": 1, 
"cpus": 0.5, 
"mem": 512 


} 
运行 curl 命令 ， 通 过 Marathon API 创建 这 个 应 用 程序 ， 然 后 查看 一 下 运行 中 的 应 用 程序 ， 
如 下 所 示 。 


$ curl -si -H 'Content-Type: appLication/json' 
-d @docker.json 10.141.141.10:8080/v2/apps 

















$ curl -sX GET -H "Content-Type: application/json" 10.141.141.10:8080/v2/tasks 
| python -m json.tool 


{ 
"tasks": [ 
{ 
"appId": "/nginx", 
"host": "10.141.141.10", 
"id": "nginx.404b7376-d47b-11e4-8cd2-56847afe9799"， 
"ports": [ 
31236 
js 
"servicePorts": [ 
10001 
]y 
"stagedAt": "2015-03-27T12:17:35.2852"，, 
"startedAt": null, 
"version": "2015-03-27T12:17:29.3122Z" 
}; 
{ 
"appId": "/http", 
"host": "10.141.141.10", 
"id": "http.a55c2bd5-d479-11e4-8cd2-56847afe9799"， 
"ports": [ 
31235 
9 
"servicePorts": [ 
10000 
J 
"stagedAt": "2015-03-27T12:06:05.8732"，, 
"startedAt": "2015-03-27T12:14:49.986Z"， 
"version": "2015-03-27T12:06:00.4852Z" 
] 





在 任务 列表 中 ， 你 看 到 了 之 前 启动 的 http 应 用 程序 。 你 也 看 到 了 新 启动 的 使 用 了 Docker 
nginx 镜像 的 应 用 。 这 个 应 用 程序 需要 多 花费 一 些 时 间 进 行 部 署 ， 因 为 它 需 要 花 时 间 去 
执行 docker puLL nginx 操作 。 芳 虑 到 从 registry 下 载 镜像 所 需 的 时 间 ， 你 在 重启 mesos- 
slave 之 前 设置 了 executor_registration_timeout 参数 。Marathon 也 将 Nginx 容器 的 
80 端口 动态 地 映射 到 了 宿主 机 上 ， 在 这 个 例子 中 它 选择 了 31236。 如 果 在 浏览 器 中 打开 
http:/10.141.141.10:31236， 你 就 能 看 到 就 悉 的 Neginx 欢迎 页 。 




















7.11.3 讨论 


JSON 格式 文件 中 的 Docker 应 用 程序 定义 可 以 设置 很 多 属性 ， 包 括 卷 挂 载 ， 指 定 参数 覆盖 
在 Dockerfile 中 CMD 指令 设置 的 参数 ， 可 以 指定 docker run 的 参数 ， 也 可 以 在 特权 模式 
中 运行 容器 。Docker 容器 化 (https://mesosphere.github.io/marathon/docs/native-docker.htm!l) 
文档 提供 了 详细 的 文档 。 但 作为 快速 参考 ， 你 也 可 以 定义 一 个 使 用 了 所 有 这 些 额 外 功能 的 


应 用 程序 ， 如 下 所 示 。 
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"id": "privileged-job", 
"container": { 
"docker": { 
"image": "mesosphere/inky" 
"privileged": true, 
"parameters": [ 


{ "key": "hostname", "value": "a.corp.org" }, 
{ "key": "volumes-from", "value": "another-container" }, 
{ "key": "lxc-conf", "value": "..." } 


] 
}， 
"type" : "DOCKER", 


"volumes": [] 


]， 

"args": ["hello"], 
"cpus": 0.2， 
"mem": 32.0， 


"instances": 1 





最 后 ， 在 单 台 主 机 上 运行 Mesos 违背 了 本 范例 的 初 囊 ， 并 且 你 也 希望 创建 一 个 在 所 有 从 属 








节点 上 使 用 Docker 容器 化 的 Mesos 和 集群。 


7.11.4 参考 


FF D9 


。 Mesosphere 关于 Docker 容器 的 文档 (https://mesosphere.github.io/marathon/docs/native- 





docker.html) 


。 Marathon JSON 示例 文件 (https://github.com/mesosphere/marathon/tree/master/examples) 
。 本 范例 参考 的 博客 文章 (http://frankhinek.com/deploy-docker-containers-on-mesos-0-20/) 





7.12 在 Mesos 集 群 上 使 用 Mesos Docker 


7.12.1 问题 





容器 化 


7.11 中 ， 你 看 过 了 如 何 对 Mesos Docker 容器 化 进行 测试 并 在 Mesos 沙 箱 中 运行 容 





。 你 希望 在 Mesos 集群 中 完成 同样 的 工作 。 


7.12.2 解决 方案 


使 用 Docker Hub 上 Mesosphere (https://mesosphere.com) 提供 的 镜像 来 构建 一 
运行 的 Mesos 集群 。 配 置 Mesos 从 属 节点 使 用 Docker 容器 化 。 

















个 在 容器 9 中 


为 了 完成 本 范例 中 的 测试 ， 你 可 以 使 用 本 书 附带 的 仓库 内 容 。 本 范例 将 通过 一 个 Vagrantfile 
文件 安装 一 个 由 三 个 本 地 节点 构成 的 Mesos 集群 ， 并 使 用 Ansible 来 启动 运行 Mesos 软件 组 





件 〈 即 ZooKeeper、Mesos 主 节 点 、Marathon 框架 和 Mesos 从 属 节 点 ) 的 容器 
如 果 还 没有 克隆 这 个 仓库 ， 你 需要 克隆 一 下 这 个 仓库 ， 进 入 到 ch07/mesos 文 们 








F 夹 下 ， 然 后 








通过 Vagrant 局 动 这 个 三 节点 的 集群 。 


如 果 你 的 宿主 机 有 足够 多 的 内 存 ， 也 可 以 为 这 个 集群 增加 更 多 的 节点 ， 或 者 
增加 为 每 个 节点 分 配 的 内 存 (参考 Vagrantfile 文件 ) 。 





$ git clone https://github.com/how2dock/docbook.git 
$ cd dockbook/ch07/mesos 

$ vagrant up 

$ vagrant status 

Current machine states: 


mesos-head running (virtualbox) 
mesos-1 running (virtualbox) 
mesos-2 running (virtualbox) 


如 果 你 是 按照 范例 的 顺序 来 阅读 本 书 的， 那么 应 该 已 经 阅读 过 范例 7.8。 如 果 你 还 没有 阅 
读 这 个 范例 ， 那 么 请 先 阅读 这 个 范例 ， 在 你 的 宿主 机 上 对 Ansible (http://ansible.com) 进 
行 设置 。 我 们 将 要 使 用 一 个 Ansible playbook 在 虚拟 机 中 启动 一 些 容器 。 这 个 playbook 的 
文件 名 为 mesos.yml。 要 想 启动 所 有 容器 ， 你 可 以 运行 这 个 playbook， 如 下 所 示 。 

$ ansible-playbook -uyu vagrant mesos.yml 
当 上 面 的 命令 执行 完毕 ，Mesos 头 节点 上 将 会 有 三 个 容器 在 运行 ( 即 ZooKeeper、Mesos 
主 节点 和 Marathon 框架 )。 两 个 从 属 节点 上 都 会 有 一 个 容器 在 运行 ( 即 Mesos 从 属 节 点 )。 
所 有 这 些 镜像 都 来 自 Docker Hub。 
打开 你 的 浏览 器 访问 http://192.168.33.10:5050 就 可 以 看 到 Mesos UI， 访 问 http://192.168. 
33.10:8080 则 可 以 看 到 Marathon UI。 
要 想 在 Mesos 集群 中 启动 一 个 Nginx 容器 ， 可 以 通过 API 在 Marathon 框架 中 创建 一 个 
Mesos 应 用 程序 ， 如 下 所 示 。 


$ curl -si -H 'Content-Type: application/json' \ 
-d @docker .json 192.168.33.10:8080/v2/apps 


当 Nginx 镜像 下 载 完 成 之 后 ， 就 能 访问 Nginx 的 欢迎 页 面 了 ， 这 与 范例 7.11 中 介绍 的 内 容 
非常 类 似 。 





























应 用 程序 定义 文件 docker.json 指定 了 128 MB 的 内 存 。 如 果 你 的 从 属 节 点 没 
有 足够 多 的 内 存 ， 则 应 用 程序 可 能 会 卡 在 部 署 阶 段 。 确 保 你 的 从 属 节点 有 足 
够 多 的 内 存 ， 以 减少 对 应 用 程序 的 限制 。 








7.12.3 讨论 


Ansible 使 用 的 清单 被 硬 编码 到 了 inventory 文件 。 如 果 你 修改 了 节点 的 卫 地址 或 者 增加 了 
节点 ， 请 确保 同时 更 新 清单 。 
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目前 Ansible playbook 通过 SSH 远程 执行 docker run 命令 。 如 果 你 想 使 用 Ansible 的 
Docker 模块 ， 请 注释 掉 command 任务 ， 然 后 删除 对 docker 任务 的 注释 。 


你 也 许 已 经 注意 到 了 ，Mesos 从 属 节点 是 以 容器 的 形式 在 运行 。 当 启动 这 个 容器 时 ， 你 设 
置 了 MESOS_CONTAINERIZERS=docker ,mesos ed ， 用 于 告诉 Mesos 从 属 节点 使 用 Docker。 
从 属 节 点 将 会 在 其 宿主 机 上 启动 其 他 的 容器 。 这 通过 将 宿主 机 上 的 /var/run/docker.sock、/ 
usr/bin/docker 和 /sys 挂 载 到 容器 中 来 实现 。 尽 管 在 测试 环境 下 这 种 方式 能 正常 工作 ， 但 是 
Mesos Docker 容器 并 不 是 用 来 做 这 件 事 的 。Mesos 建议 在 生产 环境 下 在 容器 中 运行 从 属 节 
点 之 前 ， 你 应 该 让 Mesos 从 属 节 点 在 宿主 机 上 运行 。 


7.12.4 参考 


。 Apache Mesos 配置 说 明 (http://mesos.apache.org/documentation/latest/configuration/) 


7.13 使 用 registrator 发 现 Docker 服 务 










































































7.13.1 问题 


你 正在 构建 一 个 分 布 式 应 用 程序 ， 该 程序 的 服务 在 跨越 多 台 主 机 的 容器 中 运行 。 你 需要 能 
自动 发 现 这 些 服 务 来 对 应 用 程序 进行 配置 。 在 一 个 服务 从 一 台 主 机 迁移 到 另 一 台 主 机 的 情 
况 下 ， 或 者 在 服务 自动 启动 的 情况 下 ， 需 要 对 应 用 程序 进行 配置 。 


7.13.2 ”解决 方案 


使 用 registrator (https://github.com/gliderlabs/registrator) 。registrator 以 容器 的 形式 在 你 的 
统 中 运行 。 通 过 将 Docker socket /var/run/docker.sock 挂 载 到 容器 中 ，registrator 会 监 ee 器 
的 启动 和 停止 ， 然 后 将 容器 注册 到 后 端的 数据 存储 ， 或 者 对 其 进行 注销 操作 。 现 在 有 几 种 
后 端 存储 方式 可 供 使 用 ， 比 如 etcd (https://github.com/coreos/etcd)、Consul (https://www. 
consul.io) 和 SkyDNS 2, registrator 将 来 也 会 支持 更 多 的 存储 后 端 。 尽 管 etcd 是 捆绑 到 
CoreOS 发 布 版 本 中 的 (参见 范例 6.3)， 这 些 服务 注册 并 不 特定 于 Docker。 


要 想 使 用 registrator， 首 先 需 要 设置 一 个 用 于 服务 注册 的 存储 后 端 。 由 于 这 些 软 件 都 以 静态 
二 进 制 文件 的 形式 发 布 ， 你 可 以 直接 下 载 这 些 文件 ， AU 云 行 的 方式 进行 测试 。 比 
如 ， 要 想 使 用 etcd， 可 以 执行 下 面 的 命令 。 


$ curl -L https://github.com/coreos/etcd/releases/download/v0.4.6/\ 
etcd-v0O.4.6-linux-amd64.tar .gz 

-0 etcd-vO.4.6-linux-amd64.tar .gz 
$ tar xzvf etcd-vO.4.6-linux-amd64.tar .gz 
$ cd etcd-v0.4.6-Linux-amd64 
$ sudo ./etcd 
2015/03/26 14:02:21 no data-dir provided, using default data-dir ./default.etcd 
2015/03/26 14:02:21 etcd: listening for peers on http://Llocalhost:2380 
2015/03/26 14:02:21 etcd: listening for peers on http://Llocalhost:7001 
2015/03/26 14:02:21 etcd: listening for client requests on http://LocaLhost:2379 
2015/03/26 14:02:21 etcd: listening for client requests on http://LocaLhost:4001 
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保持 etcd 处 于 运行 状态 。 在 其 他 的 终端 会 话 中 ， 在 etcd 键 值 存储 中 创建 一 个 文件 夹 ( 比 
如 下 面 操作 中 的 cookbook)。 当 服务 被 发 现 之 后 ， 就 会 保存 到 这 个 文件 夹 之 下 。 


$ cd etcd-v90.4.6-Linux-amd64 
$ ./etcdctl mkdir cookbook 

$ ./etcdctl ls 

/cookbook 


然后 从 Docker Hub 下 载 registrator 镜像 并 启动 它 ， 如 下 所 示 。 


$ docker pull gliderlabs/registrator 

$ docker run -d -v /var/run/docker.sock:/tmp/docker .sock 
-h 192.168.33.10 
gliderlabs/registrator 
-ip 192.168.33.10 
etcd://192.168.33.10:4001/cookbook 





启动 容器 时 ， 你 将 注册 服务 的 存储 后 端 作为 参数 传 给 了 gliderlabs/registrator 
镜像 。 别 忘 了 你 通过 etcdctl 命令 创建 的 文件 夹 名 。 卫 地 址 和 文件 夹 路 径 一 
起 构成 了 后 端 存储 服务 端点 的 URI。 





将 192.168.33.10 替换 为 你 自己 环境 中 的 卫 地址 。 在 这 个 例子 中 ， 我 让 所 有 
的 组 件 都 在 同一 台 主 机 上 运行 。 但 是 ， 你 可 能 更 希望 在 与 registrator 所 在 的 
Docker 主机 集群 独立 的 计算 机 上 运行 etcd。 




















现在 就 可 以 启动 容器 了 ， 将 容器 的 端口 暴露 到 宿主 机 上 ， 然 后 就 可 以 在 etcd 键 值 存储 中 看 
到 容器 的 注册 信息 了 ， 如 下 所 示 。 
$ docker run -d -p 80:80 nginx 
$ ./etcdctl ls /cookbook 
/cookbook/nginx-80 
$ ./etcdctl ls /cookbook/nginx-80 
/cookbook/nginx-80/192.168.33.10:pensive_franklin:80 
$ ./etcdctl get /cookbook/nginx-80/192.168.33.10:pensive_franklin:80 
192.168.33.10:80 


如 果 检 查 一 下 registrator 容器 的 日 志 ， 你 将 会 看 到 这 个 容器 正在 监听 所 有 的 Docker 事件 ， 
然后 对 暴露 到 宿主 机 的 端口 进行 注册 ， 如 下 所 示 。 


$ docker Logs <CONTAINER_ID> 





2015/03/26 ... registrator: Forcing host IP to 192.168.33.10 

2015/03/26 ... registrator: Using etcd registry backend at \ 
etcd://192.168.33.10:4001/cookbook 

2015/03/26 ... registrator: ignored: 6f8043d9973f no published ports 

2015/03/26 ... registrator: Listening for Docker events... 

2015/03/26 ... registrator: ignored 8c033ca03a82 port 443 not published on host 

2015/03/26 ... registrator: added: 8c033ca03a82 192.168.33.10:pensive_franklin:80 





在 上 面 的 日 志 中 ，6f8043d9973f 是 registrator 容器 的 ID ，8c933ca03a82 是 刚 启动 的 Nginx 
容器 的 ID。 
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7.13.3 讨论 


存储 在 etcd 中 的 键 的 命名 规则 取决 于 registrator 创建 的 service 对 象 ， 并 传递 给 注册 后 
端 。 根 据 GitHub 上 的 代码 (https://github.com/gliderlabs/registrator)，Service 结构 定义 如 
下 所 示 。 


type Service struct { 





ID string // <hostname>:<container-name>:<internal-port> 
//[:udp if udp] 

Name string // <basename(container-image)> 
//[-<internal-port> if >1 published ports] 

Port int // <host-port> 

IP string // <host-ip> || <resolve(hostname)> if 0.0.0.0 

Tags [Jj]string // empty, or includes 'udp' if udp 

Attrs map[string]string // any remaining service metadata from environment 


} 
服务 的 键 规则 定义 如 下 所 示 。 
<registry-uri-path>/<service-name>/<service-id> 


在 这 个 例子 中 ， 键 的 命名 如 下 所 示 (请 参考 Service 对 象 的 ID 定义 )。 


cookbook/nginx-80/192.168.33.10:pensive_franklin:80 


然后 这 个 键 对 应 的 值 会 被 设置 为 <ip>:<port>， 在 这 个 例子 里 就 是 192.168.33.19:89 (请 参 
考 service 对 象 中 IP 和 Port 的 定义 )。 


如 果 你 不 想 使 用 etcd， 可 以 切换 注册 后 端 存储 ， 比 如 使 用 consul (http://consul.io)。 使 用 
Docker Hub 上 的 progrium/consul 镜像 ， 你 可 以 在 单 台 主机 上 轻松 地 尝试 使 用 consul 作为 
注册 后 端 。 在 一 个 终端 会 话 中 拉 取 该 镜像 并 启动 consul 代理 (在 这 个 例子 中 ， 容 器 没有 以 
后 台 方 式 运行 )， 如 下 所 示 。 

$ docker pull progrium/consul 

$ docker run -p 8400:8400 -p 8500:8500 -p 8600:53/udp 


-h cookbook progrium/consul -server 
-bootstrap -ui-dir /ui 


在 另 一 个 终端 会 话 中 ， 启 动 registrator 容 器， 但 是 将 注册 后 端的 URI 更 改 为 
consul://192.168.33.10:8500/foobar， 如 下 所 示 。 




















$ docker run -d -v /var/run/docker.sock:/tmp/docker .sock 
-h 192.168.33.10 gliderlabs/registrator 
-ip 192.168.33.10 consul://192.168.33.10:8500/foobar 
现在 你 可 以 启动 一 个 Nginx 容器 ， 如 下 所 示 。 
$ docker run -d -p 80:80 nginx 


这 时 如 果 你 通过 http://192.168.33.10:8500/ui 检查 一 下 Consul UI， 你 将 会 看 到 已 经 创建 了 一 
个 foobar 文件 夹 ， 里 面 有 一 些 键 ， 包括 Consul 容器 自身 用 的 键 和 Nginx 容器 的 键 ， 如 图 
7-9 所 示 。 









































(全 SERVICES NODES KEY/VALUE ACL DC1 ~ oj 


FOOBAR/NGINX-80/ + 和 





加 192.168.33.10:naughty_banach:80 








foobarnginx- 
80/192.168.33.10:naughty_banach:80 


192.168.33.10:80 


CANCEL DELETE KEY 











图 7-9: Consul UI 


在 掌握 了 Docker 服务 注册 之 后 ， 你 就 可 以 开始 思考 如 何 动态 地 对 其 他 服务 进行 重新 配置 
了 (参见 范例 10.3)。 





7.13.4 参考 


。 registrator GitHub 仓库 (https://github.com/gliderlabs/registrator) 
。 Jeff Lindsay 的 原始 博客 (http://progrium.com/blog/2014/09/10/automatic-docker-service- 


announcement-with-registrator/ ) 
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第 8 和 章 


云 计算 中 的 Docker 





8.0 简介 


随 着 公有 云 和 私有 云 的 出 现 ， 企 业已 经 把 越 来 越 多 的 工作 负载 转移 到 云 中 。IT 基础 设施 
的 一 些 重要 部 分 都 已 经 被 部 署 到 了 公有 云 上 ， 比 如 AWS (http://aws.amazon.com)、GCE 
(https://cloud.google.com) 和 Microsoft Azure (http://azure.microsoft.com/en-us/)。 此 外 ， 企 
业 也 部 署 了 私有 云 提供 自 服务 的 基础 设施 ， 以 满足 IT 需求 。 


尽管 Docker 像 其 他 软件 一 样 ， 运 行 在 裸 机 上 ， 运 行 在 位 于 公有 云 或 者 私有 云 的 Docker 主 
机 〈 即 虚拟 机 ) 上 ， 但 是 对 在 这 些 Docker 主机 上 运行 的 容器 进行 编排 也 成 为 了 IT 基础 设 
施 新 需求 中 重要 的 一 部 分 。 图 8-1 描述 了 一 个 简单 的 构成 ， 你 可 以 使 用 本 地 Docker 客户 端 
访问 位 于 云 中 的 远程 Docker 主机 。 























有 云 CLI 

















8-1: 在 云 中 使 用 Docker 











本 章 将 会 涉及 最 大 的 三 家 公有 云 ( 即 AWS、GCE 和 Azure) 及 其 所 提供 的 Docker 服务 。 
如 果 你 从 来 没有 使 用 过 公有 云 ， 现 在 正 是 好 时 机 ， 范 例 8.1 将 会 帮 你 学 习 如 何 开始 使 用 公 























208 


有 云 。 然 后 ， 在 范例 8.2、 范 例 8.3 和 范例 8.4 中 ， 你 将 会 学 到 如 何 使 用 这 些 云 服务 提供 的 
CLI (命令 行 工 具 ) 来 启动 云 主机 实例 并 在 其 中 安装 Docker。 为 了 免 去 安装 CLI 的 麻烦 ， 
我 们 会 在 范例 8.7 中 为 你 介绍 一 个 小 窍门 ， 就 是 让 所 有 的 云 客户 端 在 一 个 容器 中 运行 。 
虽然 Docker Machine (参见 范例 1.9) 最 终 会 取代 这 些 云 计算 服务 的 CLI， 但 是 学 习 如 何 使 
用 这 些 CLI 启动 云 主 机 实例 有 助 于 我 们 使 用 其 他 与 Docker 相关 的 云 服务 。 尽 管 如 此 ， 在 
范例 8.5 中 ， 我 们 还 是 会 介绍 如 何 使 用 docker-machine 在 AWS EC2 中 启动 Docker 主机 ， 
在 范例 8.6 中 会 介绍 如 何在 Azure 中 做 同样 的 事 。 


然后 我 们 会 介绍 一 些 在 GCE 和 CE2 上 与 Docker 相关 的 服务 。 首 先 ， 在 GCE 中 ， 我 们 会 
看 一 下 Google registry， 一 个 托管 的 Docker registry， 你 可 以 通过 你 的 Google 账号 来 使 用 
这 个 registry。 它 的 工作 原理 就 像 Docker Hub， 但 是 同时 利用 了 Google 授权 系统 的 优势 ， 
你 可 以 为 团队 成 员 授予 访问 镜像 的 权限 ， 如 果 你 愿意 ， 也 可 以 将 镜像 公开 。 范 例 8.9 会 对 
Google 容器 虚拟 机 进行 介绍 。 这 里 会 对 在 单 台 主机 上 使 用 Kubernetes 的 一 些 概 念 进行 简 
短 的 介绍 。Google 容器 引擎 ( 即 GKE) 是 受托 管 的 Kubernetes 服务 ， 在 范例 8.10 中 我 们 
会 对 其 进行 介绍 。 如 果 你 已 经 有 了 Google 账号， 那么 GKE 是 体验 Kubernetes 最 快 的 方 
Ts 

本 章 最 后 ， 我 们 将 看 一 下 AWS 提供 的 两 个 可 以 让 你 运行 容器 的 服务 。 首 先 我 们 会 在 范例 
8.11 中 讲 一 下 Amazon Container Service ( 即 ECS ， https://aws.amazon.com/ecs/ )。 在 范例 
8.12 中 我 们 会 讲解 如 何 创建 ECS 集群 ， 在 范例 8.13 中 讲解 如 何 通 过 定义 任务 来 运行 容器 。 
最 后 在 范例 8.14 中 ， 我 们 会 演练 一 下 如 何 使 用 AWS Beanstalk 部 署 你 的 容器 。 

在 本 章 中 我 们 会 向 你 展示 如 何 使 用 公有 云 创建 Docker 主机 ， 也 会 介绍 一 些 最 近 已 经 面向 
一 般 用 户 开 放 的 基于 容器 的 服务 ; AWS 容器 服务 和 Google 容器 引 敬 。 这 两 种 服务 都 标志 
着 公有 云 提 供 商 的 一 种 新 趋势 ， 就 是 接受 将 Docker 看 作 一 种 打包 、 部 署 和 管理 分 布 式 应 
用 的 新 方式 。 我 们 可 以 期 待 会 有 更 多 类 似 这 样 的 服务 出 现 ， 这 些 服务 一 般 也 会 对 Docker 
和 容器 的 功能 进行 扩展 。 

AWS、GCE 和 Azure 是 世界 公认 的 三 大 公有 云 提供 商 。 但 是 ， 只 要 某 公 有 
云 能 安装 Docker 支持 的 Linux 发 行 版 (比如 Ubuntu、CentOS 和 CoreOS)， 
Docker 就 可 以 在 该 公有 云 上 安装 。 


























































































































8.1 在 公有 云 中 运行 Docker 


8.1.1 问题 


你 需要 访问 公有 云 ， 并 在 云 主机 实例 中 运行 Docker。 如 果 你 从 来 没有 使 用 过 公有 云 服务 ， 
那么 作为 入 门 ， 你 需要 快速 体验 一 下 。 
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8.1.2 解决 方案 


如 果 还 没有 访问 过 公有 云 服务 ， 你 需要 从 下 面 这 些 云 计 算 提供 商 中 选择 一 个 并 创建 账号 。 
。 如 果 是 GCE， 你 可 以 选择 从 免费 试用 (https://cloud.google.com/) 开始 。 你 需要 一 个 
Google 账号 ， 然 后 登录 GCE 管理 控制 台 (https://cloud.google.com/console)。 
。 如 果 是 Azure, 你 可 以 从 免费 试用 (http://azure.microsoft.com/en-us/pricing/free-trial/) 开始 。 
。 如 果 是 AWS， 你 可 以 从 免费 计划 (free tier，http://aws.amazon.com/free/) 开始 。 创 建 完 
账号 之 后 ， 可 以 登录 到 AWS 管理 控制 台 (https://aws.amazon.com/console)。 





登录 到 你 选择 的 云 计算 服务 提供 商 的 Web 控制 台 之 后 ， 找 到 启动 云 主机 实例 的 向 导 页 首 
请 确认 你 能 启动 一 个 可 以 通过 ssh 连接 的 云 主 机 实例 。 图 8-2 显示 的 是 AWS 的 管理 
全 








台 ， 图 8-3 显示 的 是 GCE 的 管理 控制 台 ， 图 8-4 显示 的 是 Azure 的 管理 控制 台 。 
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讨论 


8.1.3 





























如 果 你 不 熟悉 这 些 云 计 算 服 务 提供 商 ， 并 且 没 有 完成 上 面 的 设置 ， 那 么 将 无 
法 继续 本 章 后 面 的 范例 学 习 。 然 而 ， 提 供 这 些 云 计算 服务 提供 商 完 整 的 、 详 
细 到 每 一 步 的 使 用 说 明 已 经 超出 了 本 书 的 范围 。 
































这 些 指令 与 使 用 Docker 无 关 。 当 你 在 其 中 一 个 云 计 算 服务 中 创建 了 账号 之 
后 ， 就 可 以 访问 该 该 云 计 算 提供 商 的 所 有 云 服务 了 。 





在 AWS 中 ， 本 章 的 范例 将 会 使 用 Elastic Compute Cloud ( 即 EC2, http://aws.amazon.com/ 
documentation/ec2/) 服务 。 要 想 启 动 云 主机 实例 ， 你 需要 熟悉 下 面 四 条 基本 原则 。 


使 用 AWS 命令 行 接口 (command-line interface，CLI) 需要 的 API 密 钥 (http://docs.aws. 


amazon.comy/cli/latestuserguide/cli-chap-getting-setrup.html) 


用 于 通过 ssh 连接 到 云 主 机 实例 的 SSH 密 钥 对 (http://docs.aws.amazon.com/AWSEC2/ 


latest/UserGuide/ec2-key-pairs.htm!l) 
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用 于 控制 EC2 实例 通信 的 安全 组 (Security group，http://docs.aws.amazon.com/AWSEC2/ 
latesVUserGuide/using-network-security.html) 

在 云 主机 实例 启动 时 对 实例 进行 配置 的 实例 用 户 数据 (http://docs.aws.amazon.com/ 
AWSEC2/latesVUserGuide/user-data.html) 





在 GCE 中 ， 你 将 要 使 用 Google Compute Engine 服务 (https://cloud.google.com/compute/ 
docs/)。 上 面 的 AWS 原则 也 同样 适用 于 GCE。 





GCE 身份 验证 (https://cloud.google.com/compute/docs/authentication)。 本 章 将 会 使 用 
gcloud 命令 行 工具 ， 这 个 工具 使 用 了 OAuth2 身份 验证 。GCE 也 支持 其 他 身份 验证 和 授 
权 机 制 。 

使 用 SSH 密 钥 (https://cloud.google.com/compute/docs/instances#sshkeys) 连接 到 云 主机 
实例 

云 主机 实例 的 防火 墙 (https://cloud.google.com/compute/docs/networking#addingafirewall) 
云 主 机 实例 的 元 数据 (https://cloud.google.com/compute/docs/metadata#updatinginstancem 
etadata ) 。 





8.1.4 参考 


Programming Amazon Web Services (http://shop.oreilly.com/product/9780596515812.do) 
AWS 入 门 指南 (http://aws.amazon.com/documentation/gettingstarted/) 

Automating Microsoft Azure Infrastructure Services (http://shop.oreilly.com/ 
product/0636920032380.do) 

GC 入 门 指南 (https://cloud.google.com/compute/docs/signup) 


8.2 在 AWS EC2 上 启动 Docker 主 机 


8.2.1 问题 
你 希望 启动 一 台 AWS EC2， 并 将 它 作 为 Docker 主机 使 用 。 


8.2.2 解决 方案 


尽管 你 可 以 通过 Web 控制 台 启 动 云 主机 实例 并 在 实例 中 安装 Docker， 但 是 这 里 你 将 要 使 
用 AWS CLI。 首 先 ， 正如 在 范例 8.1 中 所 提 到 的 那样 ， 你 需要 获得 一 组 API 访问 密 钥 。 在 


Web 控制 台中 ， 身 
8-5 所 示 。 在 这 里 ， 你 可 以 创建 新 的 访问 密 钥 。 访 问 密 钥 和 对 应 的 密 钥 只 会 显示 一 次 ， 所 























和 击 页 面 右上 角 你 的 账户 名 称 ， 然 后 进入 Security Credentials 页 面 ， 如 图 


























以 你 需要 安全 地 保存 这 些 信息 。 
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Dashboard 
4 Your Security Credentials 

Details Use this page to manage the credentials for your AWS account. To manage credentials for AWS Identity and Access Management (IAM) users, use the IAM Console . 

Groups To learn more about the types of AWS credentials and how they're used, see AWS Security Credentials in AWS General Reference. 

Users 家 Password 

ed + Multi-Factor Authentication (MFA) 

Identity Providers 


Access Keys (Access Key ID and Secret Access Key) 
Password Policy 


You use access keys to sign programmatic requests to AWS services. To learn how to sign requests Using your access keys, see the signing documentation. For 


Credential Report your protection, store your access keys securely and do not share them. In addition, AWS recommends that you rotate your access keys every 90 days. 


Note: You can have a maximum of two access keys (active or inactive) at a time. 


Encryption Keys Created Deleted Access Key ID Status Actions 
Feb 5th 2015 wm pm Active Make Inactive | Delete 
Sep 15th 2014 Active Make Inactive | Delete 
Apr 5th 2014 Sep 15th 2014 < Deleted 


A Important Change - Managing Your AWS Secret Access Keys 
As described in a previous announcement, you cannot retrieve the existing secret access keys for your AWS root account, though you can still 
create a new root access key at any time. As a best practice, we recommend creating an IAM user that has access keys rather than relying on root 
access keys. 
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然后 你 就 可 以 安装 AWS CLI， 并 使 用 新 创建 的 访问 密 钥 对 客户 端 进行 配置 。 选 择 一 
AWS 可 用 区 (http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability- 


Zones.html) ， 你 的 云 主机 实例 默认 会 在 这 个 可 用 区 创建 。 


AWS 的 CLI aws 是 一 个 Python 包 ， 你 可 以 通过 Python Package Index (pip) 安装 。 比 如 ， 
在 Ubuntu 上 可 以 像 下 面 这 样 安装 。 


$ sudo apt-get -y install python-pip 

$ sudo pip install awscli 

$ aws configure 

AWS Access Key ID [#*# 关 类 大 炎炎 大 炎炎 类 xxxn-mg]: AKIAIEFDGHQRTW3MNQ 

AWS Secret Access Key [**********wxxww**UJjEg]: b4pNYhMUosg976arg9869Qd+Yg1qo22wC 
Default region name [eu-east-1]: eu-west-1 

Default output format [tablel]: 

$ aws --version 

aws-cli/1.7.4 Python/2.7.6 Linux/3.13.0-32-generic 


要 想 通 过 ssh 访问 你 的 云 主 机 实例 ， 需 要 在 EC2 中 配置 一 个 SSH 密 钥 对 。 可 以 通过 CLI 
创建 一 个 密 钥 对 ， 将 创建 的 私 钥 复制 到 ~/.ssh 文件 夹 下 的 某 个 文件 中 ， 然 后 设置 其 权限 为 
只 有 你 能 读 和 写 。 你 需要 确认 密 钥 是 否 已 创建 ， 这 可 以 通过 CLI 或 者 Web 控制 台 来 确认 ， 
如 下 所 示 。 

$ aws ec2 create-key-pair --key-name cookbook 

$ vi ~/.ssh/id_rsa_cookbook 


$ chmod 600 ~/.ssh/id_rsa_cookbook 
$ aws ec2 describe-key-pairs 











[| KeyPairs | 
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|+------------ +----------- +| 
| KeyFingerprint | KeyName || 
[+ +----------- +| 
|| 69:aa:64:4b:72:50:ee:15:9a:da:71:4e:44:cd:db:c0:a1:72:38:36 | cookbook || 
[+ +----------- +| 


现在 你 已 经 准备 好 在 EC2 上 启动 云 主机 实例 了 。AWS 提供 的 标准 Linux 镜像 已 经 包含 了 


Docker 仓库 。 因 此 ， 当 你 使 用 Amazon Linux AMI 启动 EC2 实例 之 后 ， 离 运行 Docker 就 
只 有 一 步 之 遥 (sudo yum install docker) 了 。 








使 用 半 虚 拟 化 (paravirtualized，PV) 的 Amazon Linux AMI， 这 样 你 就 可 以 
选择 t1.micro 实例 类 型 了 。 另 外 ， 默 认 的 安全 组 允许 你 通过 ssh 连接 到 云 
主机 实例 ， 所 以 如 果 你 只 需要 通过 ssh 连接 到 主机 实例 ， 则 不 必 在 安全 组 中 
创建 额外 的 规则 。 








$ aws ec2 run-instances --image-id amt-7b3db00c 
--Count 1 
--instance-type t1.micro 
--key-name cookbook 
$ aws ec2 describe-instances 
$ ssh -i ~/.ssh/id_rsa_cookbook ec2-user@54.194.31.39 
The authenticity of host '54.194.31.39 (54.194.31.39)' can't be established. 
RSA key fingerprint is 9b:10:32:10:ac:46:62:b4:7a:a5:94:7d:4b:2a:9f:61. 
Are you sure you want to continue connecting (yes/no)? yes 
Warning: Permanently added '54.194.31.39' (RSA) to the list of known hosts. 


| 区 / Amazon Linux AMI 


https://aws.amazon.com/amazon-linux-ami/2014.09-release-notes/ 
[ec2-user@ip-172-31-8-174 ~]$ 


安装 Docker 软件 包 ， 启 动 Docker 守护 进程 ， 并 确认 Docker CLI 是 否 能 正常 工作 。 


[ec2-user@ip-172-31-8-174 ~]$ sudo yum update 

[ec2-user@ip-172-31-8-174 ~]$ sudo yum install docker 

[ec2-user@ip-172-31-8-174 ~]$ sudo service docker start 
[ec2-user@ip-172-31-8-174 ~]$ sudo docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 


别 忘 了 最 后 终止 云 主机 实例 ， 否 则 你 可 能 会 需要 为 此 付费 ， 如 下 所 示 。 


$ aws ec2 terminate-instances --instance-ids <instance id> 


2 


2 





8.2.3 讨论 

在 本 范例 中 ， 我 们 花 了 一 些 时 间 创 建 了 API 访 问 密 钥 并 安装 了 CLI。 值 得 高 兴 的 是 ， 不 
难 发 现 ， 在 AWS 中 创建 Docker 主机 非常 简单 。 现 在 使 用 标准 的 AMI 安装 Docker 只 需 
要 两 条 命令 。 








Amazon Linux AMI 也 包含 cloud-init (https://cloudinit.readthedocs.org/en/latest/)， 这 已 经 
变 成 了 在 系统 初始 化 时 对 云 主 机 实例 进行 配置 的 标准 。 它 允许 你 在 实例 创建 的 时 候 传 递 用 
户 数据 。cloud-init 解析 用 户 数据 的 内 容 并 执行 其 中 的 命令 。 使 用 AWS CLI， 你 可 以 传递 
一 些 用 户 数据 来 自动 安装 Docker。 不 过 它 有 个 小 缺点 ， 就 是 需要 base64 编码 。 


基于 前 面 的 两 条 命令 创建 一 个 简单 的 bash 脚本 ， 如 下 所 示 。 


#!/bin/bash 
yum -y install docker 
service docker start 


对 这 个 脚本 进行 base64 编码 并 传递 给 实例 创建 命令 ， 如 下 所 示 。 


$ udata="$(cat docker.sh | base64 )" 
$ aws ec2 run-instances --image-id ami-7b3db0O0c \ 
--Count 1 \ 
--instance-type ti.micro \ 
--key-name cookbook \ 
--user-data Sudata 
$ ssh -i ~/.ssh/id_rsa_cookbook ec2-user@<public IP of the created instance> 
$ sudo docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 





























在 Docker 守护 进程 运行 时 ， 如 果 你 想 远 程 访问 它 ， 需 要 进行 TLS 设置 ( 参 
见 范例 4.9)， 并 在 你 的 安全 组 中 打开 2376 端口 。 














使 用 CLI 并 不 是 Docker 要 求 的 。CLI 允许 你 使 用 完整 的 AWS API 集 合 。 但 
是 使 用 CLI 来 启动 云 主机 实例 和 在 实例 中 安装 Docker 大 大 简化 了 Docker 主 
机 的 配置 工作 。 




















8.2.4 参考 


。 安装 AWS CLI (http://docs.aws.amazon.com/cli/latest/userguide/installing.htm!l) 
。 配置 AWS CLI (http://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.htm!l) 
。 使 用 AWS CLI 启动 云 主 机 实例 (http://docs.aws.amazon.com/cli/latest/userguide/cli-ec2-launch.html) 


8.3 在 Google GCE 上 启动 Docker 主 机 


8.3.1 问题 
你 希望 在 Google GCE 上 启动 一 个 虚拟 机 实例 并 将 它 作为 Docker 主机 。 
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8.3.2 解决 方案 


安装 gcloud CLI (https://cloud.google.com/sdk/gcloud/)， 在 安装 过 程 中 你 需要 回答 几 个 问 
题 ， 然 后 登录 到 Google 云 服务 。 如 果 CLI 能 打开 浏览 器 ， 那 么 你 会 被 重 定向 到 一 个 网 页 ， 
该 页 面 会 要 求 你 登录 并 接受 使 用 条 款 。 如 果 你 的 终端 不 能 启动 浏览 器 ， 那 么 你 会 看 到 一 个 
URL， 你 需要 自己 在 浏览 器 中 打开 这 个 页 面 。 这 将 会 给 你 一 个 需要 在 命令 行 提示 符 中 输入 
的 访问 令 牌 ， 如 下 所 示 。 

$ curl https://sdk.cloud.google.com | bash 

$ gcloud auth login 


Your browser has been opened to visit: 
https://accounts.google.com/o/o0auth2/auth?redirect_ uri=... 












































$ gcloud compute zones list 

NAME REGION STATUS NEXT_MAINTENANCE TURNDOWN_DATE 
asia-east1-C asia-east1 UP 

asia-east1-a asia-east1 UP 

asia-east1-b asia-east1 UP 

europe-west1-b europe-west1 UP 

europe-west1-c europe-west1 UP 

us-central1-f us-centraL1 UP 

us-central1-b us-central1 UP 

us-central1il-a us-central1 UP 


如 果 你 还 没有 设置 项 目 ， 需 要 先 在 Web 控制 台 (https://cloud.google.com/storage/docs/ 


projects) 中 设置 一 个 。 项 目 用 于 管理 团队 成 员 并 为 每 个 成 员 分 配 指定 的 权限 。 它 大 致 相当 
于 Amazon 的 身份 和 访问 管理 (Identity and Access Management，IAM) 服务 。 











启动 实例 之 前 ， 为 region 和 zone (https://cloud.google.com/compute/docs/zones) 设置 一 个 
你 优先 使 用 的 默认 值 会 比较 方便 (即使 你 想 在 云 中 部 署 一 个 将 涉及 多 个 region 和 zone 的 
强大 系统 )。 你 可 以 使 用 gcloud config set 来 设置 默认 值 ， 如 下 所 示 。 

$ gcloud config set compute/region europe-west1 


$ gcloud config set compute/zone europe-west1-c 
$ gcloud config list --all 








要 想 启 动 一 个 云 主 机 实例 ， 你 需要 一 个 镜像 名 (https://cloud.google.com/sdk/gcloud/reference/ 
compute/instances/create) 和 实例 类 型 (https:Wcloud.google.com/compute/docs/machine-types ) 。 
然后 将 剩 下 的 工作 交 给 gctoud 工具 ， 如 下 所 示 。 


$ gcloud compute instances create cookbook \ 
--machine-type n1-standard-1 \ 
--image Ubuntu-14-04 \ 
--metadata startup-script=\ 
"sudo wget -q0- https://get.docker.com/ | sh" 


$ gcloud compute ssh cookbook 
sebastiengoasguen@cookbook:~$ sudo docker ps 


CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 


$ gcloud compute instances delete cookbook 





大 


216 | 第 8 章 





在 这 个 例子 中 ， 我 们 创建 了 一 个 Ubuntu 14.04 主机 实例 ， 主 机 类 型 为 n1-standard-1， 并 指 
定 了 作为 启动 脚本 的 元 数据 。 指 定 的 bash 命令 会 从 标准 的 Ubuntu 仓库 安装 docker.io 包 。 
上 面 的 例子 创建 了 一 个 运行 中 的 云 主 机 实例 ，Docker 在 这 个 云 主机 中 运行 。GCE 的 元 数 
据 有 点 类 似 AWS EC2 中 的 用 户 数据 ， 在 云 主机 实例 中 由 cloud-init 进行 处 理 。 


8.3.3 讨论 
如 果 你 列 出 一 个 zone 中 的 可 用 镜像 ， 会 发 现 一 些 与 Docker 相关 的 有 趣 内 容 ， 如 下 所 示 。 


$ gcloud compute images list 





























NAME PROJECT ALIAS et STATUS 
centos-7-v20150710 centos-cloud centos-7 READY 
coreos-alpha-774-0-0-v20150814 coreos-cloud READY 
container -vn-v20150806 google-containers container-vm READY 
ubuntu-1404-trusty-v20150805 Ubuntu-os-cLoud ubuntu-14-04 READY 
windows-server -2012-r2-dc-v20150813 windows-cLoud windows-2012-r2 READY 


实际 上 ，GCE 提供 了 CoreOS (http://coreos.com) 镜像 以 及 容器 VM (https://cloud.google. 
com/compute/docs/containers/container_vms)。 我 们 在 第 6 章 中 已 经 讨论 过 CoreOS 了 。 容 器 
VM 是 基于 Debian 7 的 实例 ， 它 包含 Docker 守护 进程 和 Kubernetes (http://kubernetes.io) 
的 kubelet。 我 们 在 第 5 章 中 已 经 讨论 过 了 Kubernetes， 范 例 8.9 则 会 对 容器 VM 进行 更 详 
细 的 讲解 。 

如 果 你 想 启 动 CoreOS 实例 ， 可 以 使 用 镜像 别名 。 安 装 Docker 时 你 不 需要 指定 任何 元 数 
据 ， 如 下 所 示 。 


$ gcloud compute instances create cookbook --machine-type n1-standard-1 \ 
--image coreos 








$ gcloud compute ssh cookbook 


Core0S (stable) 
sebastiengoasguen@cookbook ~ $ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 





使 用 gcloud CLI 并 不 是 Docker 要 求 的 。 这 个 CLI 让 你 可 以 访问 完整 的 GCE 
API 集合。 但 是 使 用 CLI 来 启动 云 主机 实例 和 在 实例 中 安装 Docker 大 大 简 
化 了 Docker 主机 的 配置 工作 。 
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8.4 在 Microsoft Azure 上 启动 Docker 主 机 


8.4.1 问题 


你 想 在 Microsoft Azure 上 启动 一 个 YM 实例 并 将 它 作 为 Docker 主机 。 


8.4.2 解决 方案 


首先 ， 你 需要 创建 一 个 Azure 账号 (参见 图 8-1)。 如 果 你 不 想 使 用 Azure 门户 (https:/ 
manage.windowsazure.com)， 也 可 以 安装 Azure CLI。 在 一 台 狐 新 的 Ubuntu 14.04 计算 机 
上 ， 你 可 以 像 下 面 这 样 操 作 。 


$ sudo apt-get update 

sudo apt-get -y install nodejs-Legacy 
sudo apt-get -y install npm 

sudo npm install -g azure-cli 

azure -V 



































接着 ， 你 需要 从 CLI 设置 用 于 身份 验证 的 账号 信息 。 有 几 种 方法 (http:/azure.microsoft. 
com/en-us/documentation/articles/xplat-cli/) 可 以 用 来 设置 账号 信息 。 其 中 一 种 是 从 门户 下 
载 你 的 账号 设置 并 将 其 导入 到 使 用 CLI 的 计算 机 中 ， 如 下 所 示 。 

$ azure account download 

$ azure account import ~/Downloads/Free\ 


Trial-2-5-2015-credentials.publishsettings 
$ azure account list 


现在 你 就 可 以 使 用 Azure CLI 来 启动 VM 实例 了 。 选 择 一 个 位 置 和 一 个 镜像 ， 如 下 所 示 。 


$ azure vm image list | grep Ubuntu 
$ azure vm location list 








info: Executing command vm location list 
+ Getting locations 

data: Name 

data:  ---------------- 

data: West Europe 

data: North Europe 

data: East US 2 

data: Central US 

data: South Central US 

data: West US 

data: East US 

data: Southeast Asia 

data: East Asia 

data: Japan West 

info: vm location list command OK 


使 用 azure vm create 命令 创建 一 个 可 以 用 ssh 访问 并 使 用 密码 身份 验证 的 云 主机 实例 ， 
如 下 所 示 。 








$ azure vm create cookbook --ssh=22 \ 
--password #@$#%#@$ \ 
--UserName cookbook \ 
--location "West Europe" \ 


b39f27a8b8c64d52b05eac6a62ebad85_Ubuntu-14 04_1-LTS \ 
-amd64-server-20150123-en-us-30GB 


$ azure vm list 


data: Name Status Location DNS Name 


IP Address 
data:  -------- 
data: cookbook ReadyRole West Europe cookbook.cloudapp.net 100.91.96.137 
info: vm list command OK 


之 后 你 就 可 以 通过 ssh 连接 到 这 个 云 主机 实例 ， 并 像 在 范例 1.1 中 所 介绍 的 那样 安装 





Docker。 


8.4.3 讨论 


Azure CLI 还 在 活跃 地 开发 中 (https://msopentech.com/blog/2014/10/08/latest-updates-to-azure- 


cli/)。 你 也 可 以 在 GitHub (https://github.com/Azure/azure-xplat-cli) 上 找到 其 源 代 码 ， 寺 


让 





且 Docker Machine 也 提供 了 Azure 驱动 程序 (https://github.com/docker/machine#microsoft- 


azure ) 。 





Azure CLI 也 支持 使 用 azure vm docker create 命令 来 自动 创建 一 台 Docker 主机 ， 如 下 


所 示 。 


$ azure vm docker create goasguen -L "Nest Europe" \ 
b39f27a8b8c64d52b05eac6 
-14_04_1-LTS-amd64-serv 
-30GB cookbook @#$%@#$% 


info: Executing command vm docker create 

warn: --vm-size has not been specified. Defaulting to 
info: Found docker certificates. 

info: vm docker create command OK 

$ azure vm list 

info: Executing command vm list 

+ Getting virtual machines 

data: Name Status Location DNS Name 

data:  -------- 
data: goasguen ReadyRole West Europe goasguyen.cloud 








a62ebad85__Ubuntu \ 
er-20150123-en-us \ 
$ 


"Small". 


IP Address 


app.net 100.112.4.136 


通过 上 面 的 命令 创建 的 云 主机 实例 会 自动 启动 Docker 守护 进程 ， 并 且 你 可 以 通过 Docker 











客户 端 和 TLS 连接 来 访问 该 Docker 守护 进程 ， 如 下 所 示 。 


$ docker --tls -H tcp://goasguen.cLoudapp.net:4243 ps 
CONTAINER ID IMAGE COMMAND CREATED STATU 
$ docker --tls -H tcp://goasguen.cLoudapp.net:4243 images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 





S PORTS NAMES 
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使 用 该 CLI 并 不 是 Docker 要 求 的 。 这 个 CLI 让 你 可 以 访问 完整 的 Azure API 
集合 。 但 是 使 用 CLI 来 启动 云 主机 实例 和 在 实例 中 安装 Docker 大 大 简化 了 
Docker 主机 的 配置 工作 。 








8.4.4 ”参考 


。 Azure 命令 行 接口 (http://azure.microsoft.com/en-us/documentation/articles/xplat-cli/) 

。 在 Azure 上 启动 CoreOS 实例 (https://coreos.com/docs/running-coreos/cloud-providers/azure/#via- 

the-cross-platform-cli) 

。 在 Azure 上 使 用 Docker Machine (https://github.com/chanezon/azure-linux/blob/master/docker/ 
machine.md) 


8.5 在 AWS 上 使 用 Docker Machine 启 动 Docker 
主机 
8.5.1 问题 


你 知道 如 何 使 AWS CLI 在 云 中 启动 云 主机 实例 以 及 如 何 安装 Docker (参见 范例 8.2)。 但 
是 你 想 使 用 一 种 能 与 Docker 用 户 体验 集成 到 一 起 的 流水 线 式 过 程 。 


8.5.2 ”解决 方案 
使 用 Docker Machine (https://github.com/docker/machine) 和 它 的 AWS EC2 驱动 程序 。 


下 载 Docker Machine 的 二 进 制 文件 。 设 置 相应 的 环境 变量 ， 这 样 Docker Machine 就 可 以 
知道 你 的 AWS API 密 钥 和 默认 你 想 在 哪个 VPC 中 启动 Docker 主机 。 然 后 就 可 以 使 用 
Docker Machine 局 动 云 主机 实例 。Docker 会 自动 设置 TLS 连接 信息 ， 你 可 以 通过 TLS 连 
接 到 位 于 AWS 的 远程 Docker 主机 。 在 一 台 64 位 的 Linux 主机 上 ， 执 行 下 面 的 命令 。 


$ sudo su 

# curl -L https://github.com/docker/machine/releases/\ 
downLoad/v0.4.0/docker-machine_Linux-amd64 > \ 

/usr/LocaL/bin/docker-machine 

# chmod +x docker-machine 

# exit 

$ export AWS_ACCESS_KEY_ID=<your AWS access key> 

$ export ANS_SECRET_ACCESS_KEY_ID=<your AWS secret key> 

$ export AWS_VPC_ID=<the VPC ID you want to start the instance in> 

$ docker-machine create -d amazonec2 cookbook 

INFO[0000] Launching instance... 

INFO[0023] Waiting for SSH ... 


























INFO[0129] "cookbook" has been created and is now the active machine 
INFO[0129] To connect: docker $(docker-machine config cookbook) ps 








了 在 使 用 完 之 后 终止 这 个 云 主机 实例 。 


$ eval "$(docker-machine env cookbook)" ps 


CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
$ docker-machine ls 

NAME ACTIVE DRIVER STATE URL 

cookbook * amazonec2 Running tcp://<IP_Docker_Machine_AWS>:2376 


$ docker-machine kill cookbook 


也 可 以 使 用 Docker Machine CLI 直接 管理 你 的 云 主 机 ， 如 下 所 示 。 


$ docker-machine -h 


COMMANDS: 
active Get or set the active machine 
create Create a machine 
config Print the connection config for machine 
inspect Inspect information about a machine 
ip Get the IP address of a machine 
kill Kill a machine 
ls List machines 
restart Restart a machine 
rm Remove a machine 


env Display the commands to set up the environment for 
the Docker client 
ssh Log into or run a Command on a machine with SSH 


start Start a machine 

stop Stop a machine 

Upgrade Upgrade a machine to the Latest version of Docker 
url Get the URL of a machine 

help, h Shows a list of commands or help for one command 


8.5.3 讨论 











Azure 驱动 程序 。 











Docker Machine 包括 一 些 适 用 于 云 计 算 服 务 提供 商 的 驱动 程序 (https:// 
github.com/docker/machine/tree/master/drivers)。 我 们 已 经 展示 了 如 何 使 用 
Digital Ocean 驱动 程序 (参见 范例 1.9)， 你 将 会 在 范例 8.6 中 看 到 如 何 使 用 


当 这 人 台 云 主机 实例 创建 后 ， 就 可 以 使 用 本 地 Docker 客户 端 来 与 这 台 云 主机 通信 了 。 别 忘 


AWS 驱动 程序 需要 你 通过 一 些 命令 行 参 数 来 设置 你 :的 访问 密 钥 、VPC、SSH 密 钥 对 、 云 


主机 镜像 和 实例 类 型 等 。 你 可 以 像 前 面 例子 那样 通过 环境 变量 的 方式 来 设置 ， 或 者 直接 在 





docker-machtne 命令 行 申 指定 ， 如 下 所 示 。 


$ docker-machine create -h 


OPTIONS: 


--amazonec2-access-key AWS Access Key [SANS_ACCESS_KEY_ID] 
--amazonec2-ami AWS machine image [S$AWS_AMI] 


--amazonec2-instance-type 't2.micro' AWS instance type [SANS_INSTANCE_TYPE] 


--amazonec2-region "US-east-1' AWS region [$AWS_DEFAULT_REGION] 
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“16. AWS root disk size (in GB) ... 

AWS Secret Key [$AWS_SECRET_ACCESS KEY] 
AWS VPC security group ... 

AWS Session Token [$AWS_SESSION_TOKEN] 
AWS VPC subnet id [SANS_SUBNET_ID] 

ANS VPC id [$AWS_VPC_ID] 
zone for instance .. 


--amazonec2-root-size 
--amazonec2-secret-key 
--amazonec2-security-group 
--amazonec2-session-token 
--amazonec2-subnet-id 
--amazonec2-vpc-id 
--amazonec2-zone 'a’ AWS 


最 后 ,docker-machine 还 会 为 你 创建 一 个 SSH 密 钥 对 和 一 个 安全 组 。 这 个 安全 组 会 打开 
2376 端口 上 的 通信 ， 这 样 就 可 以 让 Docker 客户 端 通过 TLS 与 Docker 主机 进行 通信 。 图 
8-6 显示 了 在 AWS 控制 台中 看 到 的 安全 组 规则 。 


. [SANS_ZONE] 








Create Security Groul Actions Y 
He 
Q Fit (2) 1to2of2 
Name ~ GroupiD ^ Group Name ~ VPCID ~ Description 
sg-c86d48ad default vpc-3e99285b default VPC security group 
和 sg-cea70eaa docker-machine vpc-3e99285b Docker+ Machine 
Security Group: sg-cea70eaa 加 四 四 
Description Inbound Outbound Tags 
Edit 
Type (i Protocol (i Port Range (i Source (1 
Custom TCP Rule TCP 2376 0.0.0.0/0 
SSH TCP 22 0.0.0.0/0 











8-6: Docker Machine 创建 的 安全 组 规则 


8.6 在 Azure 上 使 用 Docker Machine 启 动 Docker 
主机 


8.6.1 问题 


你 知道 如 何 通 过 Azure CLI 在 Azure 上 启动 Docker 主机 ， 但 是 你 想 知 道 使 用 Docker 
Machine 统一 在 多 个 公有 云 平台 上 启动 Docker 主机 的 方法 。 


8.6.2 解决 方案 


使 用 Docker Machine 的 Azure 驱动 程序 。 在 图 1-7 中 ， 你 已 经 看 到 了 如 何 通 过 Docker 
Machine 在 DigitalOcean 上 启动 一 台 Docker 主机 。 在 Microsoft Azure 上 你 也 可 以 进行 同样 
的 操作 。 你 需要 一 个 Azure 的 合法 订阅 (http://azure.microsoft.com/en-us/pricing/free-trial/) 。 


你 需要 下 载 docker-machine 可 执行 文件 。 访问 docker-machine 文档 网 站 (https://docs. 
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docker.com/machine/) ， 然 后 选择 与 你 本 地 计算 机 相应 的 架构 可 执行 文件 , 比如 在 OS X 上 ， 
如 下 所 示 。 


$ wget https://github.com/docker/machine/reLeases/downLoad/v0.4.0/ \ 
docker -machine_darwin-amd64 

$ mv docker-machine_darwin-amd64 docker-machine 

$ chmod +x docker-machine 

$ ./docker-machine --version 

docker-machine version 0.3.0 


有 了 合法 的 Azure 订阅 ， 还 需要 创建 一 个 X.509 证 书 并 通过 Azure 门户 (https://manage. 
windowsazure.com) 上 传 。 可 以 通过 下 面 的 命令 来 创建 证 书 。 


$ openssl req -x509 -nodes -days 365 -newkey rsa:1024 \ 

-keyout mycert.pem -out mycert.pem 
$ openssl pkcs12 -export -out mycert.pfx -in mycert.pem -name "My Certificate" 
$ openssl x509 -inform pem -in mycert.pem -outform der -out mycert.cer 


将 mycert.cer 上 传 到 服务 并 定义 下 面 的 环境 变量 。 


$ export AZURE_SUBSCRIPTION_ID=<UID of your subscription> 
$ export AZURE_SUBSCRIPTION_CERT=mycert.pem 


后 就 可 以 使 用 docker-machine 并 设置 本 地 Docker 客户 端 使 用 远程 的 Docker 守护 进程 ， 
如 下 所 示 。 


$ ./docker-machine create -d azure goasguen-foobar 

INFO[0002] Creating Azure machine... 

INFO[0061] Waiting for SSH... 

INFO[0360] "goasguen-foobar" has been created and is now the active machine. 
INFO[0360] To point your Docker client at it, run this in your shell: \ 
$(docker-machine env goasguen-foobar) 

$ ./docker-machine ls 











NAME ACTIVE DRIVER STATE URL SWARM 
toto1111 * azure Running tcp://goasguen-foobar.cloudapp.net:2376 
$ $(docker-machine env goasguen-foobar) 

$ docker ps 


CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 








在 这 个 例子 中 ，goasguen-foobar 是 我 为 新 创建 的 Docker 主机 设置 的 名 称 。 
这 个 名 称 需要 全 局 唯一 。 像 foobar 和 test 这 种 名 字 很 可 能 都 已 经 被 用 了 。 











8.6.3 讨论 
将 你 的 本 地 Docker 客户 端 设置 为 使 用 在 Azure 虚拟 机 中 运行 的 远程 Docker 守护 进程 之 后 ， 
就 可 以 从 你 常用 的 registry 拉 取 镜像 并 启动 容器 了 。 


比如 ， 让 我 们 启动 一 个 Nginx 容器 ， 如 下 所 示 。 


$ docker pull nginx 
$ docker run -d -p 80:80 nginx 
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为 了 暴露 位 于 Azure 远程 主机 上 的 80 端口 ， 你 需要 为 该 VM 添加 一 个 端点 。 转 到 Azure 门 
户 ， 选 择 一 个 VM (这 里 为 goasguen-foobar)， 为 HTTP 请 求 添加 一 个 端点 ， 如 图 8-7 所 
示 。 当 端点 创建 完成 之 后 ， 你 就 可 以 通过 http://<unique_name>.cloudapp.net 访问 Nginx 了 。 





Microsoft Azure ~v CREDIT STATUS Subscriptions 


goasguen-foobar 





《2 DASHBOARD MONITOR ENDPOINTS CONFIGURE 


goasguen-foobar NAME 个 ”PROTOCOL PUBLIC PORT PRIVATE PORT 


[KR 2376 2376 


Top 80 80 





ssh TCP 22 22 








天 | 
© 
加 
日 
从 
oe 
王 








图 8-7: Azure 虚拟 机 端点 


8.6.4 参考 


。 Docker Machine Azure 驱动 程序 文档 (http://docs.docker.com/machine/#microsoft-azure) 


8.7 ”在 Docker 容 器 中 运行 云 服务 提供 商 的 CLI 


8.7.1 问题 

你 想 利用 容器 的 优势 ， 在 容器 内 运行 你 选择 的 云 服务 提供 商 的 CLI。 这 给 了 你 更 多 的 可 移 
植 性 ， 并 免 去 了 每 次 都 从 头 安 装 CLI 的 麻烦 。 你 只 需要 从 Docker Hub 下 载 一 个 容器 的 镜 
像 就 可 以 了 。 


8.7.2 解决 方案 


如 果 是 Google GCE CLI， 你 可 以 使 用 Google 维护 的 公开 镜像 (https:Wregistry.hub.docker. 
com/u/google/cloud-sdk/)。 通 过 docker pull 命令 下 载 这 个 镜像 ， 并 通过 临时 的 交互 式 容器 
执行 GCE 命令 。 
假设 你 在 OS X 计算 机 上 使 用 boot2docker ， 可 以 进行 如 下 操作 。 

$ boot2docker up 

$ $(boot2docker shellinit) 

$ docker pull google/cloud-sdk 


$ docker images | grep google 
google/cloud-sdk latest a7e7bcdfdc16 10 days ago 1.263 GB 


然后 就 可 以 登录 到 GCE 并 执行 在 范例 8.3 中 介绍 过 的 命令 ， 唯 一 的 不 同 是 这 里 的 CLI 都 在 


























容器 中 和 运行。 运行 Login 命令 的 容器 设置 了 一 个 名 称 ， 在 后 续 的 CLI 调用 中 ， 这 个 被 命名 
的 容器 会 被 当 作 一 个 数据 卷 容器 来 使 用 ( 即 --volumes-from cloud-config)。 这 样 你 就 可 
以 在 后 续 操 作 中 使 用 存储 在 这 个 被 命名 容器 中 的 授权 令 牌 信息 ， 如 下 所 示 。 


$ docker run -t -i --name gcloud-config google/cloud-sdk gcloud auth login 
Go to the following link in your browser: 





$ docker run --rm \ 
-ti \ 
--volumes-from gcloud-config google/cloud-sdk \ 
gcloud compute zones list 
NAME REGION STATUS NEXT_MAINTENANCE TURNDOWN_DATE 
asia-east1-C asia-east1 UP 
asia-east1-a asia-east1 UP 
asia-east1-b asia-east1 UP 
europe-west1-b europe-west1 UP 
europe-west1i-c europe-west1 UP 
us-central1-f us-central1l UP 
us-central1-b us-central1l UP 
Us-centraL1-a Us-central1l UP 


使 用 别名 会 更 加 方便 ， 如 下 所 示 。 


$ alias magic='docker run --rm \ 
-ti \ 
--volumes-from gcloud-config \ 
google/cloud-sdk gcloud' 
$ magic compute zones list 
NAME REGION STATUS NEXT_MAINTENANCE TURNDOWN_DATE 
asia-east1-C asia-east1 UP 
asia-east1-a asia-east1 UP 
asia-east1-b asia-east1 UP 
europe-west1-b europe-west1 UP 
europe-west1i-c europe-west1 UP 
us-central1-f us-central1l UP 
us-central1l-b us-central1l UP 
Us-centraL1-a Us-centraL1l UP 


8.7.3 讨论 
你 也 可 以 在 AWS 上 采用 类 似 的 过 程 。 如 果 在 Docker Hub 上 查找 awscli 镜像 ， 你 会 发 现 有 
很 多 镜像 可 供 选 择 。 其 中 的 一 个 Dockerfile (https://registry.hub.docker.com/u/nathanleclaire/ 
awscli/dockerfile/) 显示 了 这 个 镜像 是 如 何 构 建 的 ， 以 及 CLI 是 如 何在 镜像 中 安装 的 。 使 用 
这 个 nathanleclaire/awscli 镜像 ， 你 会 发 现 这 个 镜像 并 没有 通过 挂 载 卷 的 方式 在 容器 和 容器 
k 享 授权 信息 。 因 此 ， 你 需要 在 局 动容 器 时 通过 环境 变量 的 方式 将 AWS 访问 密 钥 传 
给 容器 内 的 CLI， 如 下 所 示 。 
$ docker pull nathanleclaire/awscli 
$ docker run --rm \ 
-ti \ 
-e AWS_ACCESS_KEY_ID="AKIAIUCASDLGFIGDFGS" \ 
-e ANS_SECRET_ACCESS_KEY="HwQdNnAIqrwy9797arghqQERfrgot" \ 
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nathanleclaire/awscli \ 
--region eu-west-1 \ 
--output=table \ 

ec2 describe-key-pairs 


| DescribeKeyPairs | 
4 + 
| KeyPairs | 
|+------------ +----------- +| 
[| KeyFingerprint | KeyName || 
[+ +----------- +| 
|| 69:aa:64:4b:72:50:ee:15:9a:da:71:4e:44:cd:db:c0:a1:72:38:36 | cookbook || 
[+ +----------- +| 








还 需要 注意 的 是 ， 这 个 容器 的 entrypoiint 已 经 被 设置 为 aws 了 ， 因 此 你 不 需要 在 运行 时 再 
输入 aws， 只 需要 输入 后 面 的 参数 即 可 。 








un 








你 可 以 构建 自己 的 AWS CLI 镜像 ， 这 样 就 可 以 更 方便 地 使 用 API 密 钥 了 。 








8.7.4 参考 
。 关于 容器 化 Google SDK 的 官方 文档 (https://registry.hub.docker.com/u/google/cloud-sdk/) 


8.8 使 用 Google Container registry 存 储 Docker 
镜像 


8.8.1 问题 

自己 的 基础 设施 中 使 用 过 私有 registry 了 (参见 范例 2.11) ， 但 是 你 想 发 挥 托管 
务 的 优势 。 特 别 是 你 想 发 挥 新 发 布 的 Google 容器 registry (https://cloud.google.com/tools/ 

oo ) 的 优势 。 


除 此 之 外 ， 还 有 一 些 其 他 托管 registry 解决 方案 可 供 选 择 ， 比 如 Docker Hub 
企业 版 (https:/www.docker.com/enterprise/hub/) 和 Quay.io (https://quay.io)。 
本 范例 并 不 会 提供 其 中 任何 一 种 方案 与 其 他 方案 优 劣 的 对 比 。 

















8.8.2 解决 方案 

如 果 还 没有 GCE 账号 ， 请 回 到 范例 8.1 注册 一 个 Google 云 计算 平台 的 账号 。 然 后 下 载 
Google 云 计 算 的 CLI， 并 创建 一 个 项 目 (参见 范例 8.3)。 请 务必 在 你 的 Docker 主机 上 更 
新 gcloud CLI， 让 它 能 够 加 载 预览 组 件 。 你 将 可 以 使 用 gcLoud docker 命令 ， 这 是 一 个 
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docker 客户 端的 包装 工具 ， 如 下 所 示 。 


$ gcloud components update 
$ gcloud docker help 
Usage: docker [OPTIONS] COMMAND [arg...] 


A self-sufficient runtime for linux containers. 


这 个 例子 会 在 Google Cloud 上 创建 一 个 cookbook 项 目 (https://cloud.google.com/storage/ 
docs/projects)， 项 目 ID 为 sylvan-plane-862。 实 际 上 ， 你 创建 的 项 目 名 和 项 目 ID 与 例子 中 
的 可 能 会 不 一 样 。 


在 这 个 例子 中 ， 我 们 使 用 的 Docker 主机 上 有 一 个 busybox 镜像 ， 我 们 将 会 把 这 个 镜像 上 
传 到 Google Container Registry (GCR) 上 去 。 你 需要 遵循 GCR 的 命名 空间 规则 ( 即 gcr. 
io/project_id/image_name) 为 你 要 推送 到 GCR 的 镜像 打上 标签 。 然 后 可 以 通过 gcloud 
docker push 命令 上 传 镜 像 ， 如 下 所 示 。 


$ docker images | grep busybox 

busybox latest a9eb17255234 8 months ago 2.433 MB 

$ docker tag busybox gcr.io/sylvan_plane 862/busybox 

$ gcloud docker push gcr.io/sylvan_plane 862/busybox 

The push refers to a repository [gcr.io/syLvan_pLane_862/busybox] (len: 1) 
Sending image list 

Pushing repository gcr.io/sylvan_plane_862/busybox (1 tags) 
511136ea3c5a: Image successfully pushed 

42eed7f1bf2a: Image successfully pushed 

120e218dd395: Image successfully pushed 

a9eb17255234: Image successfully pushed 

Pushing tag for rev [a9eb17255234] on \ 
{https://gcr.io/vi/repositories/sylvan_plane_862/busybox/tags/latest} 





tt 











GCR 命名 空间 的 命名 规则 是 ， 如 果 项 目 ID 中 有 破 折 号 ， 你 需要 将 破 折 号 替 
换 为 下 划 线 。 





如 有 果 打 开 Google 开发 者 控制 台中 的 存储 页 面 ， 你 会 看 到 一 个 新 创建 的 bucket， 并 且 镜 像 中 
的 层 已 经 上 传 到 服务 器 (参见 图 8-8)。 
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Google 
Projects 


cookbook 


APls & auth 
Monitoring 
Source Code 
Compute 
Networking 
Storage 

Cloud Storage 


Storage browser 


+Sebastien 


Buckets / artifacts.sylvan-plane-862.appspot.com / containers / images 


Upload files New folder C 


NAME SIZE TYPE LASTUPLOADED SHARED PUBLICLY 
120e218dd395ec314e7b6249f39d2853911b3d6def6ea164ae05722649f34b16/ 兰 Folder 一 
BM 42eed7f1bf2ac3f1610c5e616d2ab1ee9c7290234240388d6297bc0f32c34229/ = Folder 一 
BM 511136ea3c5a64f264b78b5433614aec563103b4d4702f3ba7d4d2698e22c158/ ee Folder ”一 


项 a9eb172552348a9a49180694790b33a1097f546456d041b6e82e4d7716ddb721/ 一 Folder 一 


Project dashboard 


Cloud Datastore 
Cloud SQL 


Big Data 








8-8: Google 容器 registry 镜像 


8.8.3 讨论 
如 果 你 在 镜像 所 在 的 项 目下 面 启动 新 的 Google 云 主机 实例 ， 那 么 将 会 自动 获得 拉 取 这 个 




















镜像 的 权限 。 


如 果 你 想 让 其 他 人 也 能 拉 取 这 个 镜像 ， 则 需要 将 这 些 人 添加 到 项 目的 成 员 


中 。 你 可 以 通过 gcloud config set project <project_id> 命令 设置 默认 的 项 目 ， 这 样 在 
后 续 的 gcloud 命令 中 ， 你 就 不 需要 再 明确 指定 项 目 名 参数 了 。 


让 我 们 在 GCE 中 启动 一 个 云 主机 实例 ， 然 后 ssh 到 该 实例 ， 从 GCR 拉 取 busybox 镜像 ， 





如 下 所 示 。 
$ gcloud 


$ gcloud 
Updated 




















compute instances create cookbook-gce --image container-vm \ 
--zone europe-westi-c \ 
--machine-type fi-micro 

compute ssh cookbook-gce 

[https://www.googleapis.com/compute/vi/projects/sylvan-plane-862]. 


$ sudo gcloud docker pull gcr.io/syLvan_pLane_862/busybox 

Pulling repository gcr.io/sylvan_plane_862/busybox 

a9eb17255234: Download complete 

511136ea3c5a: Download complete 

42eed7f1ibf2a: Download complete 

120e218dd395: Download complete 

Status: Downloaded newer ;image for gcr.io/sylvan_plane_862/busybox:latest 
sebastiengoasguen@cookbook:~$ sudo docker images | grep busybox 
gcr.io/syLvan_pLane_862/busybox latest a9eb17255234 








为 了 能 从 GCE 云 主机 实例 推送 镜像 ， 你 需要 在 启动 时 指定 正确 的 scope 参 


数 : --scopes https://www.googLeapis.com/auth/devstorage.read_write。 








8.9 在 GCE Google-Container 实 例 中 使 用 Docker 


8.9.1 问题 


GCE 中 启动 云 主机 实例 ， 并 在 云 主机 初始 化 时 安装 Docker， 但 是 你 希望 使 
已 经 安装 了 Docker 的 云 主机 镜像 。 


8.9.2 解决 方案 


正如 在 范例 8.3 中 提 到 的 那样 ，GCE 提供 了 专 为 容器 优化 的 镜像 。 











确保 你 通过 gcloud config set project <project_id> 命令 将 你 的 项 目 设 
置 为 项 目 ID。 











$ gcloud compute images list 


NAME PROJECT ALIAS DEPRECATED STATUS 
container-vm-v20141208 google-containers container-vm READY 
container-vm-v20150112 google-containers container-vm READY 
container-vm-v20150129 google-containers container-vm READY 


些 镜像 (https://cloud.google.com/compute/docs/containers/container_vms) 基于 Debian 7， 
预 装 了 Docker 守护 进程 和 Kubernetes (http://kubernetes.io) 的 kubelet 服务 。 


第 5 章 中 对 Kubernetes 有 更 详细 的 讨论 。 


用 户 可 以 向 在 基于 这 些 云 主机 镜像 创建 的 云 主机 实例 中 运行 的 kubelet 服务 发 送 一 个 描述 
文件 pod: https://github.com/kubernetes/kubernetes/blob/master/docs/user-guide/pods. 
md) ， 这 个 描述 文件 记述 了 一 组 需要 在 这 个 云 主机 实例 中 运行 的 容器 。kubetet 将 会 启动 这 
些 容器 这些 突 各 过 行 管理 。 一 个 pod 的 描述 文件 是 一 个 如 下 所 示 的 YAML 文件 。 


version: v1 
kind: Pod 
metadata: 
name: nginx 
spec: 
containers: 
- Name: nginx 
image: nginx 
ports: 
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- _ name: nginx 
hostPort: 80 
containerport: 80 





pod 描述 文件 中 可 以 引用 GCR 中 的 镜像 (参见 范例 8.8) ， 比 如 gcr .io/<your_ 


project_name>/busybox。 


这 个 示例 文件 描述 了 一 个 基于 nginx 镜像 的 容器 ， 以 及 一 个 要 暴露 的 端口 。 你 可 以 将 这 
个 描述 文件 作为 参数 传 给 gcloud 创建 云 主机 实例 的 命令 。 将 上 面 的 YAML 文件 保存 为 
nginx.yml， 然 后 启动 云 主机 实例 ， 如 下 所 示 。 
$ gcloud compute instances create cookbook-gce \ 
--image container-vm \ 
--metadata-from-file google-container-manifest=nginx.yml \ 


--zone europe-westi-c \ 
--machine-type fi-micro 


在 你 的 Google GCE 管理 控制 台中 ， 可 以 查看 刚 启 动 的 云 主 机 实例 的 详情 (参见 图 8-9)。 
在 这 个 页 面 中 你 可 以 看 到 容器 的 描述 文件 ， 也 可 以 设置 是 否 允 许 HTTP 通信 。 如 果 API 的 
版 本 升级 了 ， 那 么 你 看 到 的 版 本 可 能 是 v2 而 不 是 v1。 当 pod 描述 文件 定义 的 容器 启动 之 
后 ， 打 开 浏 览 器 访问 这 台 云 主机 实例 的 80 端口 ， 你 将 会 看 到 Nginx 的 欢迎 页 面 。 


























Network 
default 


vf Allow HTTP traffic Allow HTTPS traffic 


Availability policies 


Automatic restart Enabled (recommended) 
On host maintenance Migrate VM instance (recommended) 
Custom metadata Edit 


google-container-manif version: vibeta2 
est containers: 
-name: nginx 
image: nginx 
ports: 
-name: nginx 
hostPort: 80 
containerPort: 80 











8-9: GCE 容器 VM 中 的 pod 描述 文件 





8.9.3 讨论 

如 果 通 过 ssh 直接 连接 到 云 主机 实例 ， 你 可 以 查看 到 运行 中 的 容器 列表 。 你 将 会 看 到 一 个 
用 于 监控 的 google/cadvisor 容器 ， 以 及 两 个 kubernetes/pause:go 容器 。 后 面 的 这 两 

则 是 监控 用 容器 cadvisor 和 pod 所 暴露 端口 的 中 间 代 理 。 


$ gcloud compute ssh cookbook-gce 
































sebastiengoasguen@cookbook-gce:~$ sudo docker ps 


CONTAINER ID IMAGE COMMAND 
1f83bb1197c9 nginx:latest "nginx -g 'daemon of 
blie6fed3ee20 google/cadvisor:0.8.0 "/usr/bin/cadvisor" 
79e879c48e9e kubernetes/pause:go "/pause" 
9c1a51ab2f94 kubernetes/pause:go "/pause" 


在 第 9 章 中 将 会 介绍 cadvisor (https://github.com/google/cadvisor)。 


8.10 ”通过 GCE 在 云 中 使 用 Kubernetes 


8.10.1 问题 


你 希望 使 用 一 组 Docker 主机 并 在 这 些 Docker 主 机 中 管理 容器 。 你 喜欢 Kubernetes 
(https://kubernetes.io) 容器 编排 引擎 ， 但 是 想 通 过 托管 的 云 服务 方式 来 使 用 Kubernetes。 


8.10.2 解决 方案 


使 用 Google 容器 引擎 (https://cloud.google.com/container-engine/) 服务 。 这 个 新 服务 允许 
你 在 需要 的 时 候 通 过 Google API 来 创建 Kubernetes 集群 。 一 个 Kubernetes 集群 由 一 个 主 
节点 和 一 组 作为 容器 VM 的 计算 节点 组 成 ， 有 点 类 似 范 例 8.9 中 所 介绍 的 那样 。 


Google 容器 引擎 还 处 于 beta 阶段 。Kubernetes 也 在 活跃 开发 中 。 可 以 预期 其 
API 可 能 会 经 常 变动 ， 因 此 在 生产 环境 下 使 用 Kubernetes 你 需要 自己 承担 风 
险 。 关 于 Kubernetes 的 详细 信息 ， 可 以 参考 第 5 章 。 

































































更 新 你 的 gcloud SDK 以 使 用 容器 引擎 功能 。 如 果 还 没有 安装 Google SDK， 请 参考 范例 
8.3 安装 Google SDK。 





$ gcloud components update 
通过 Google 容器 引擎 启动 一 个 Kubernetes 计算 机 只 需要 一 条 命令 ， 如 下 所 示 。 


$ gcloud container clusters create cook --num-nodes 1 --machine-type gl-small 
Creating cluster cook...done. 

Created [https://container .googleapis.com/v1i/projects/sylvan-plane-862/zones/ \ 
us-central1-f/clusters/cook]. 

kubeconfig entry generated for cook. 

NAME ZONE MASTER_VERSION MASTER_IP MACHINE_TYPE STATUS 

cook us-central1i-f 1.0.3 104.197.33.61 gil-small RUNNING 
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你 的 集群 全 地 址 、 项 目 名 和 zone 会 与 上 面 看 到 的 有 所 不 同 。 我 们 看 到 Kubernetes 为 你 创 
建 了 配置 文件 kubeconfig。 这 个 文件 保存 在 ~/.kube/config 下 ， 文 件 内 容 包括 我 们 的 容器 集 
群 的 端点 ， 以 及 使 用 Kubernetes 集群 所 需要 的 授权 信息 。 


你 也 可 以 通过 Google Cloud 的 Web 控制 台 (参见 图 8-10) 创建 一 个 集群 。 
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App Engine 
Compute Engine 
VM instances 


Instance groups 


Instance templates 
Disks 

Snapshots 

Images 

Networks 


Network load balancing 


Container Engine XLPHA 
Container clusters. 


Containers package an application so it can be easily 
deployed to run in its own isolated environment. Containers 
are managed in clusters that automate VM creation and 
maintenance. Learn more 


HTTP load balancing 
Zones 
Operations 
Quotas 
Container Engine 


Click to Deploy 











8-10: 容器 引擎 向 导 


当 集 群 开始 运行 之 后 ， 就 可 以 向 集群 提交 容器 ， 也 就 是 说 ， 你 可 以 通过 与 集群 中 的 主 节 点 
交互 ， 在 集群 中 的 节点 上 创建 一 组 容器 。 容 器 组 由 pod 来 定义 。 这 与 范例 8.9 中 介绍 的 是 
一 样 的 概念 。 使 用 gcloud CLI 可 以 方便 地 定义 简单 的 pod 并 将 pod 提交 到 集群。 接着 你 要 
使 用 tutum/wordpress 镜像 来 启动 一 个 容器 ， 这 个 容器 包括 一 个 MySQL 数据库。 如 果 安 装 
了 gcloud CLI， 它 同时 也 会 安装 Kubernetes 客户 端 程序 kubectL。 你 可 以 确认 一 下 kubectl 
是 否 在 你 的 PATH 之 中 。 它 将 会 使 用 创建 Kubernetes 集群 时 自动 创建 的 配置 文件 。 这 样 就 
可 以 从 位 于 远程 容器 集群 上 的 本 地 主机 安全 地 启动 容器 ， 如 下 所 示 。 

$ kubectl run wordpress --image=tutum/wordpress --port=80 

$ kubectl get pods 


NAME READY STATUS RESTARTS AGE 
wordpress-0d58L 1/1 Running 0 1m 


当 这 个 容器 被 分 配 到 集群 中 的 某 个 节点 后 ， 你 需要 创建 一 个 Kubernetes 服务 来 将 在 容器 中 
运行 的 应 用 程序 暴露 到 外 部 。 这 也 可 以 通过 kubectl 命令 来 完成 ， 如 下 所 示 。 
$ kubectl expose rc wordpress --create-external-load-balancer=true 


NAME LABELS SELECTOR IP(S) PORT(S) 
wordpress run=wordpress run=wordpress 80/TCP 











232 | 第 8 章 


命令 expose 用 于 创建 一 个 Kubernetes 服务 (service、pod、replication controller 是 Kubernetes 
的 三 个 核心 组 件 )， 该 服务 同时 从 负载 平衡 服务 器 获得 了 一 个 公 网 卫 地 址 。 完 成 上 述 操作 
后 再 次 查看 容器 集群 中 的 服务 列表 ， 你 会 看 到 wordpress 服务 。 该 服务 有 一 个 内 部 IP 地 址 
和 一 个 公 网 卫 地址 ， 你 可 以 在 笔记 本 电脑 上 访问 这 个 WordPress 的 界面 ， 如 下 所 示 。 

$ kubectl get services 

NAME LABELS SELECTOR IP(S) PORT(S) 


wordpress run=wordpress1 run=wordpress 10.95.252.182 80/TCP 
104.154.82.185 





























之 后 就 可 以 开始 使 用 WordPress 了 。 





8.10.3 讨论 

你 可 以 使 用 kubectl CLI 来 管理 Kubernetes 集群 中 的 任何 资源 ( 即 pod、service、replication 
controller 和 节点 )。 与 下 面 这 段 kubectl 使 用 帮助 显示 的 内 容 一 样 ， 你 可 以 创建 、 删 除 、 
查看 和 列 出 所 有 这 些 资 源 。 


$ kubectl -h 
kubectl controls the Kubernetes cluster manager . 











Find more information at https://github.com/GoogLeCLoudPLatform/kubernetes . 
Usage : 

kubectl [flags] 

kubectl [command] 


Available Commands: 


get Display one or many resources 

describe Show details of a specific resource or group of resources 
create Create a resource by filename or stdin 

replace Replace a resource by filename or stdin. 

patch Update field(s) of a resource by stdin. 

delete Delete a resource by filename, stdin, resource and name, or .. 

















尽管 通过 上 面 的 例子 可 以 创建 只 包含 一 个 容器 的 简单 pod， 不 过 使 用 -f， 你 还 可 以 通过 
JSON 或 者 YAML 文件 来 指定 更 高 级 的 pod 定义 文件 ， 如 下 所 示 。 


$ kubectl create -f /path/to/pod/pod.json 


在 范例 8.9 中 你 已 经 看 到 过 pod 的 YAML i 这 里 再 让 我 们 通过 JSON 文件 ,使 
用 新 发 布 的 Kubernetes v1 API 来 定义 一 个 pod。 这 个 pod 会 运行 Nginx 服务 ， 如 下 所 示 。 


{ 




















"kind": "Pod", 
"apiVersion": "v1", 

"metadata": { 
"name": "nginx", 

"labels": { 
"app": "nginx" 


} 
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"spec" : { 
"containers": [ 
{ 
"name": "nginx", 
"image": "nginx", 
"ports": [ 
{ 


"containerPort": 80, 
"protocol": "TCP" 











启动 pd， 并 检查 pod 的 状态 。 当 pod 开始 运行 ， 并 且 你 的 防火 墙 打 开 了 集群 中 市 点 上 的 
80 端口 时 ， 就 可 以 看 到 Nginx 的 欢迎 页 面 。Kubernetes 的 GitHub 项 目 主页 (https://github. 
com/GoogleCloudPlatform/kubernetes/tree/master/examples) 提供 了 更 多 的 例子 。 


$ kubectl create -f nginx.json 


pods/nginx 

$ kubectl get pods 

NAME READY STATUS RESTARTS AGE 
nginx 1/1 Running 0 20s 
wordpress 1 Running 0 17m 





最 后 ， 你 需要 做 些 清理 工作 ， 删 除 你 的 pod， 退 出 主 节 点 ， 并 删除 集群 ， 如 下 所 示 。 


$ kubectl delete pods nginx 
$ kubectl delete pods wordpress 
$ gcloud container clusters delete cook 


8.10.4 参考 


。 集群 操作 (https://cloud.google.com/container-engine/docs/clusters/operations) 

。 pod 操作 (https://cloud.google.com/container-engine/docs/pods/operations) 

。 service 操作 (https://cloud.google.com/container-engine/docs/services/operations) 

。 replication controller 操作 (https://cloud.google.com/container-engine/docs/services/operations) 


8.11 配置 使 用 EC2 Container Service 


8.11.1 问题 


你 希望 尝试 一 下 Amazon AWS 的 最 新 EC2 容器 服务 (EC2 Container Service，ECS ) 。 


8.11.2 ”解决 方案 


ECS 是 一 个 AWS 公开 发 布 的 服务 。 设 置 ECS 需要 一 些 步骤 ， 本 范例 将 会 总 结 一 下 其 中 
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的 主要 步骤 ， 但 你 应 该 阅读 一 下 官方 文档 (http://docs.aws.amazon.com/AmazonECS/latest/ 
developerguide/get-set-up-for-amazon-ecs.html) 以 获得 更 多 信息 。 


( 如 果 你 还 没有 AWS (http://aws.amazon.com) 账号 ， 需 要 先 注 册 一 个 。 

(2) 登录 到 AWS 管理 控制 台 。 如 有 必要 ， 请 参考 一 下 范例 8.1 和 范例 8.2。 你 需要 在 一 个 
VPC 内 的 安全 组 中 启动 ECS 实例 。 如 果 还 没有 默认 的 VPC 和 安全 组 ， 就 需要 新 建 一 个 
VPC 和 安全 组 。 

(3) 到 IAM 管理 控制 台 创建 用 于 ECS 的 角色 。 如 果 你 还 不 熟悉 IAM， 那 么 这 一 步 可 能 稍 
显 高 级 ， 你 可 以 按照 AWS ECS 的 文档 (http://docs.aws.amazon.com/AmazonECS/latest/ 
developerguide/get-set-up-for-amazon-ecs.html) 一 步 步 进行 操作 。 

(4) 为 刚 创建 的 角色 创建 一 个 内 联 策 略 (http://docs.aws.amazon.com/AmazonECS/latest/ 
developerguide/get-set-up-for-amazon-ecs.html)。 如 果 策 略 创 建成 功 ， 那 么 当 你 单 击 
Show Policy 链接 的 时 候 ， 应 该 会 看 到 与 图 8-11 类 似 的 内 容 。 在 本 范例 的 讨论 部 分 中 ， 
会 介绍 一 种 使 用 Boto (http://docs.pythonboto.org/en/latest/) 自动 创建 策略 的 方式 。 








Show Policy 


{ 
"Version": "2012-10-17", 
"statement": [ 
{ 


"ecs:CreateCluster", 
"ecs:RegisterContainerInstance"， 
"ecs:DeregisterContainerInstance"， 
"ecs:DiscoverPollEndpoint"， 
"ecs:Submit*", 

"ecs:Poll” 


， 
"Resource": [ 
Wye 














图 8-11: IAM 角色 控制 台中 的 ECS 策略 


(5) 安装 最 新 版 AWS CLI (http://aws.amazon.com/cli/)。ECS API 的 版 本 应 该 是 1.7.0 或 者 
更 高 。 你 可 以 验证 一 下 aws ecs 命令 是 否 可 用 ， 代 码 如 下 所 示 。 
$ sudo pip install awscli 
$ aws --version 


aws-cli/1.7.8 Python/2.7.9 Darwin/12.6.0 
$ aws ecs help 


ECS() ECS() 
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NAME 
eCS: 


DESCRIPTION 
Amazon EC2 Container Service (Amazon ECS) is a highly scalable, 
fast, container management service that makes it easy to run， 
stop, and manage Docker containers on a cluster of Amazon 
EC2 instances. Amazon ECS lets you launch and stop 
container-enabled applications with simple API calls, allows 
you to get the state of your cluster from a centralized service, 
and gives you access to many familiar Amazon EC2 features like 
security groups, Amazon EBS volumes, and IAM roles. 


(6) 创建 一 个 AWS CLI 配置 文件 ， 这 个 配置 文件 包括 你 创建 的 IAM 用 户 的 API 密 钥 信息 。 
请 注意 ， 区 域 设置 为 us-east-1， 这 是 目前 ECS 可 以 使 用 的 北 弗 吉 尼 亚 地 区 ， 如 下 所 示 。 
$ cat ~/.aws/config 
[default] 
output = table 
region = us-east-1 
aws_access_key_id = <your ANS access key> 
aws_secret access key = <your ANS secret key> 


完成 了 上 面 的 所 有 步骤 后 ， 就 可 以 开始 使 用 ECS 了 。 你 需要 创建 一 个 集群 (参见 范例 
8.12)， 定 义 与 容器 相关 的 任务 ， 并 在 集群 上 运行 这 些 任务 来 启动 容器 (参见 范例 8.13)。 

















8.11.3 讨论 


为 了 在 集群 上 启动 一 个 ECS 实例 ， 你 需要 创建 一 个 IAM 配置 文件 和 ECS 策略 ， 如 果 你 以 
前 没有 使 用 过 AWS， 这 也 许 会 比较 麻烦 。 为 了 帮助 你 完成 这 一 步 ， 你 可 以 使 用 本 书 附带 
代码 中 的 脚本 ， 该 脚本 使 用 了 Python 的 Boto (http://docs.pythonboto.org/en/latest/) 库 来 创 
建 策略 。 
安装 Boto， 将 文件 /.aws/config 复制 到 /.aws/credentials， 克 隆 仓 库 然后 执行 脚本 文件 ， 如 
下 所 示 。 

$ git cLone https://github.com/how2dock/docbook.git 

$ sudo pip install boto 

$ cp ~/.aws/config ~/.aws/credentials 


$ cd ch08/ecs 
$ ./ecs-policy.py 


这 上段 代码 创建 了 一 个 ecs 角色 、 一 个 ecspolicy 的 策略 ， 以 及 一 个 cookbook 的 实例 配置 文 
件 。 你 可 以 编辑 这 个 脚本 文件 来 修改 这 些 名 称 。 脚 本 执行 完 之 后 ， 你 就 可 以 在 IAM 管理 
控制 台 (https://console.aws.amacon.con/iam/home#roles) 中 看 到 刚 创 建 的 角色 和 策略 了 。 


8.11.4 参考 


。 ECS 演示 (https://aws.amazon.com/blogs/compute/amazon-ecs-video-demo/) 视频 
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。 ECS 官方 文档 (http://docs.aws.amazon.com/AmazonECS/latest/developerguide/get-set-up-for- 
amazon-ecs.html) 


8.12 创建 一 个 ECS 集 群 


8.12.1 问题 
你 已 经 安装 好 了 并 准备 使 用 ECS (参见 范例 8.11)。 现 在 你 打算 在 ECS 上 创建 一 个 集群 和 
一 个 在 集群 中 运行 容器 的 实例 。 


8.12.2 解决 方案 


使 用 在 范例 8.11 中 安装 的 AWS CLI， 并 堂 试 一 下 新 的 ECS API。 在 这 个 范例 中 ， 你 将 会 
学 到 如 何 使 用 下 面 的 命令 。 


。 aws ecs list-clusters 








。 aws ecs create-cluster 

。 aws ecs describe-clusters 

。 aws ecs list-container-instances 
。 aws ecs delete-cluster 


默认 情况 下 ， 你 在 ECS 中 拥有 一 个 集群 ， 但 是 直到 你 在 其 中 启动 一 个 实例 为 止 ， 这 个 集群 
都 处 于 非 活 动 状 态 。 尝 试看 一 下 下 面 集群 的 信息 。 


$ aws ecs describe-clusters 
































| DescribeClusters | 
+ + 
[| failures [| 
[+ +---------- +| 
[| arn | reason [| 
[+ +---------- +| 
|| arn:aws:ecs:us-east-1:587534442583:cluster/default | MISSING || 
[+ +----------- + 





目前 AWS 限制 每 个 用 户 只 能 使 用 两 个 ECS 集群 。 








要 想 激活 这 个 集群 ， 可 以 通过 Boto 来 启动 一 个 实例 。 这 里 使 用 的 是 ECS 专用 的 AMI， 这 
个 AMI 里 面包 括 一 个 ECS 代理 (https:Wgithub.com/aws/amazon-ecs-agent) 。 要 想 通 过 ssh 
连接 到 ECS 实例 ， 你 需要 事先 创建 一 个 SSH 密 钥 对 ， 还 需要 一 个 拥有 ECS 策略 的 角色 以 
及 一 个 实例 属性 〈 实 例 配 置 文件 ， 参 见 范例 8.11) ， 如 下 所 示 。 
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$ python 


>>> import boto 

>>> C = boto.connect ec2() 

>>> Cc.run_instances('ami-34ddbe5c', \ 
key_name='ecs', \ 
instance_type='t2.micro', \ 
instance_profile_name='cookbook') 


当 一 个 实例 启动 后 ， 等 待 它 开始 运行 并 注册 到 集群 。 然 后 可 以 再 次 查看 集群 状态 。 你 将 会 





看 到 默认 的 集群 已 经 切换 到 了 活动 状态 。 你 也 可 以 列 出 所 有 容器 实例 ， 如 下 所 示 。 





$ aws ecs describe-clusters 


| DescribeClusters 
ee 

[| clusters 
[+ +------- 
[| clusterArn | clusterName 
[+ +------- 
|| arn:aws:ecs:us-east-1:587432148683:cluster/default | 
[+ +------- 


$ aws ecs list-container-instances 


再 启动 另 一 个 实例 ， 增 加 集群 的 大 小 ， 如 下 所 示 。 


$ aws ecs list-container-instances 


| status || 
+-------- +| 
| ACTIVE || 
+-------- +| 


4 + 
[| containerInstanceArns 

|+--------- +| 
|| arn:aws:ecs:us-east-1:587342368683:container-instance/75738343-... 

|| arn:aws:ecs:us-east-1:587423448683:container-instance/b457e535-... 

|| arn:aws:ecs:us-east-1:584242468683:container-instance/e5c0be59-... 

|| arn:aws:ecs:us-east-1:587421468683:container-instance/e62d3d79-... 
[+ 


i 些 容器 实例 是 通常 的 EC2 实例 ， 在 EC2 管理 控制 台中 你 也 能 看 到 这 些 实例 。 如 果 





你 已 经 设置 好 了 SSH 密 钥 ， 并 且 在 安全 组 中 打开 了 22 端口 ， 那 么 也 能 通过 





些 实例 ， 如 下 所 示 。 


$ ssh -i ~/.ssh/id_rsa_ecs ec2-user@52.1.224.245 


eA | 
_| ( NANW Amazon ECS-Optimized Amazon Linux AMI 


ssh 连接 到 这 





人 


Image created: Thu Dec 18 01:39:14 UTC 2014 
PREVIEW AMI 


9 package(s) needed for security，out of 10 available 
Run "sudo yum update" to apply all updates . 
[ec2-user@ip-172-31-33-78 ~]$ docker ps 
CONTAINER ID IMAGE 

4bc4d480a362 amazon/amazon-ecs-agent:latest 
[ec2-user@ip-172-31-33-78 ~]$ docker version 
Client version: 1.6.2 

Client API version: 1.18 

Go version (client): go1.3.3 

Git commit (client): 7c8fca2/1.6.2 

OS/Arch (client): Linux/amd64 

Server version: 1.6.2 

Server API version: 1.18 

Go version (server): go1.3.3 

Git commit (server): 7c8fca2/1.6.2 

OS/Arch (server): Linux/amd64 


可 以 看 到 ， 容 器 实例 都 运行 着 的 Docker 服务 ，ECS 代理 也 运行 在 容器 中 。 你 看 到 的 
Docker 版 本 可 能 与 上 面 的 会 不 一 样 ， 因 为 Docker 几乎 每 两 个 月 就 会 发 布 一 个 新 版 本 。 











8.12.3 讨论 
你 可 以 使 用 默认 的 集群 ， 也 可 以 创建 自己 的 集群 ， 如 下 所 示 。 


$ aws ecs create-cluster --cluster-name cookbook 








| CreateCluster | 
+ + 
[| cluster [| 
[+ +----- +---------- +| 
[| clusterArn | clusterName | status [| 
[+ +------ +---------- +| 
|| arn:aws:ecs:us-east-1:...:cluster/cookbook | cookbook | ACTIVE || 
[+ +----- +---------- +| 
$ aws ecs list-clusters 

| ListClusters 
+ + 

[| clusterArns | 
[+ +| 


|| arn:aws:ecs:Uus-east-1:587264368683:cluster/cookbook || 
|| arn:aws:ecs:Uus-east-1:587264368683:cluster/default | 





为 了 在 新 创建 的 集群 中 启动 实例 ， 你 需要 在 创建 实例 的 步骤 中 ， 设 置 一 些 用 户 数据 (http:// 


docs.aws.amazon.com/AWSEC2/latesUVUserGuide/user-data.html ) 。 


如 果 使 用 Boto， 那 么 上 面 的 工作 可 以 通过 下 面 的 脚本 来 完成 。 
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#!/usr/bin/env python 


import boto 
import base64 
userdata=""" 

#!/bin/bash 

echo ECS_CLUSTER=cookbook >> /etc/ecs/ecs.config 


c = boto.connect ec2() 
Cc.run_instances('ami-34ddbe5c', \ 
key_name='ecs', \ 
instance_type='t2.micro', \ 
instance_profile_ name="'cookbook', \ 
user_data=base64.b64encode(userdata)) 


当 不 再 使 用 这 个 集群 时 ， 可 以 通过 aws ecs delete-cluster --cluster cookbook 命令 来 彻 
底 删 除 这 个 集群 。 





8.12.4 ”参考 
。 ECS 代理 在 GitHub 上 的 项 目 主页 (https://github.com/aws/amazon-ecs-agent) 


8.13 在 ECS 集 群 中 启动 Docker 容 器 


8.13.1 问题 


你 知道 如 何在 AWS 上 创建 一 个 ECS 集群 (参见 范例 8.12) ， 现 在 你 已 经 准备 好 在 集群 中 
的 实例 上 运行 Docker 容器 了 。 


8.13.2 解决 方案 


你 可 以 通过 一 个 JSON 格式 的 定义 文件 来 描述 你 要 启动 的 容器 或 一 组 容器 。 这 将 被 称 为 一 
个 任务 。 你 将 会 注册 这 个 任务 并 运行 它 ， 这 一 过 程 分 两 步 。 当 这 个 任务 开始 在 集群 中 运行 
时 ， 你 可 以 对 它 进 行 list、stop 和 start 等 操作 。 


比如 ， 要 想 使 用 Docker Hub 上 的 nginx 镜像 在 容器 中 运行 Nginx， 你 需要 创建 如 下 JSON 
格式 的 任务 定义 文件 。 


[ 
{ 
"environment": []， 
"name": "nginx", 
"image": "nginx", 
"cpu": 10, 
"portMappings": [ 
{ 




















SN 
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"containerPort": 80， 
"hostPort": 80 
} 

司 

"memory": 10， 

"essential": true 

} 
] 


不 难 注意 到 ， 任 务 定义 与 Kubernetes 中 的 pod (参见 范例 5.4) 以 及 Docker Compose 配置 
文件 (参见 范例 7.1) 非常 相似 。 

你 可 以 使 用 ECS 的 register-task-definition 命令 来 注册 这 个 任务 。 也 可 以 指定 一 个 
family 参数 来 对 任务 进行 分 组 ， 这 还 能 帮助 你 保持 版 本 历史 记录 ， 使 用 这 些 历 史记 录 可 以 
方便 地 进行 回 滚 操作 ， 如 下 所 示 。 


$ aws ecs register-task-definition --family nginx \ 
--Cli-input-json file://$PWD/nginx.json 











$ aws ecs list-task-definitions 


| ListTaskDefinitions | 
+ + 
[| taskDefinitionArns | 
|+----------- +| 
|| arn:aws:ecs:us-east-1:584523528683:task-definition/nginx:1 || 
[+ +| 





为 了 启动 任务 定义 文件 中 定义 的 容器 ， 你 可 以 使 用 run-task 命令 ， 并 指定 你 想 要 运行 的 容 
器 的 个 数 。 要 想 停 止 容器 ， 你 需要 停止 相应 的 任务 。 要 停止 相应 的 任务 ， 你 需要 指定 该 任 
务 的 UUID， 任 务 的 UUID 可 以 通过 list-tasks 命令 获得 ， 如 下 所 示 。 


$ aws ecs run-task --task-definition nginx:1 --count 1 
$ aws ecs stop-task --task 6223f2d3-3689-4b3b-a110-ea128350adb2 


ECS 将 任务 分 配 到 你 的 集群 中 的 一 个 容器 实例 之 上 。 镜 像 会 从 Docker Hub 下 载 ， 容 器 使 
用 任务 定义 文件 里 指定 的 参数 启动 。 当 前 ECS 还 处 于 预览 版 阶段 ， 因 此 找到 一 个 任务 所 在 
的 实例 和 为 其 分 配 的 IP 地 址 还 都 没有 那么 简单 直接 。 如 果 你 有 多 个 实例 在 运行 ， 还 必须 要 
进行 一 些 猜测 。 看 起 来 ECS 中 并 不 存在 Kubernetes 中 类 似 的 服务 代理 的 组 件 。 




















8.13.3 ”讨论 


在 上 面 的 Nginx 例子 中 ， 一 个 任务 在 一 个 容器 中 运行 ， 其 实 你 也 可 以 使 用 链接 的 容器 定 
义 一 个 任务 。 任 务 定义 参考 (http://docs.aws.amazon.com/AmazonECS/latest/developerguide/ 
task_defintions.html) 描述 了 所 有 可 以 在 定义 任务 时 使 用 的 属性 。 作 为 示例 ， 我 们 会 在 两 
个 容器 中 运行 一 个 WordPress 服务 (一 个 wordpress 容器 和 一 个 mysql 容器 ) ， 你 可 以 定义 
一 个 wordpress 任务 。AWS ECS 任务 定义 格式 与 Docker Compose 的 定义 文件 (参见 范例 
7.1) 很 相似 。 我 们 应 该 牢记 ， 为 compose、pod 和 task 之 间 的 标准 化 工作 所 付出 的 努力 将 


会 造福 整个 社区 。 
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"image": "wordpress", 
"name": "wordpress", 
"cpu": 10， 


"memory": 200, 
"essential": true, 
"links": [ 

"mysql" 
] ， 
"portMappings": [ 


"containerPort": 80， 
"hostPort": 80 


} 
]， 
"environment": [ 
{ 
"name": "WORDPRESS_DB_NAME", 
"value": "wordpress" 
]， 
{ 
"name": "WORDPRESS_DB_USER", 
"value": "wordpress" 
]， 
{ 
"name": "WORDPRESS_DB_PASSWORD", 
"value": "wordpresspwd" 
} 
] 
}， 
{ 
"image": "mysql", 
"name": "mysql", 
"cpu": 10， 


"memory": 200, 
"essential": true, 
"environment": [ 


{ 
"name": "MYSQL_ROOT_PASSWORD", 
"value": "wordpressdocker" 

]， 

{ 
"name": "MYSQL_DATABASE", 
"value": "wordpress" 

]， 

{ 
"name": "MYSQL_USER", 
"value": "wordpress" 

]， 

{ 
"name": "MYSQL_PASSWORD", 
"value": "wordpresspwd" 

} 





} 
] 


这 个 任务 会 像 我 们 前 面 看 到 的 Nginx 的 例子 一 样 注册 到 集群 ， 但 是 你 指定 了 一 个 新 的 
family 参数 。 但 是 当 这 个 任务 开始 执行 的 时 候 ， 可 能 会 因为 某 些 约束 条 件 得 不 到 满足 而 失 
败 。 在 这 个 例子 中 ， 我 的 容器 实例 类 型 为 t2.micro， 拥 有 1 GB 的 内 存 。 由 于 任务 定义 中 
声明 的 wordpress 和 mysql 容器 各 需要 500 MB 的 内 存 ， 因 此 对 集群 调度 器 来 说 ,没有 足够 
内 存 来 找到 一 个 实例 满足 任务 定义 的 约束 条 件 ， 故 任务 运行 会 失败 ， 如 下 所 示 。 

$ aws ecs register-task-definition --family wordpress \ 


--Cli-input-json file://$PWD/wordpress.json 
$ aws ecs run-task --task-definition wordpress:1 --count 1 























| RunTask | 
+ + 
[| failures | 
|+----------- +------------ +| 
[| arn | reason | 
[+ +------------ +| 


|| arn:aws:ecs:Uus-east-1:587264368683:container-instance/...|RESOURCE:MEMORY || 
|| arn:aws:ecs:us-east-1:587264368683:container-instance/...|RESOURCE:MEMORY || 
|| arn:aws:ecs:us-east-1:587264368683:container-instance/...|RESOURCE:MEMORY || 





你 可 以 编辑 任务 定义 文件 ， 降 低 一 些 对 内 存 的 约束 ， 然 后 使 用 相同 的 family 注册 一 个 新 任 
务 (这 里 版 本 为 2)。 这 次 任务 将 会 成 功 运行 。 如 果 登 录 到 运行 这 个 任务 的 实例 中 ， 你 会 发 
现 这 个 任务 的 容器 与 ECS 代理 容器 都 在 这 个 实例 上 运行 ， 如 下 所 示 。 


$ aws ecs run-task --task-definition wordpress:2 --count 1 
$ ssh -i ~/.ssh/id_rsa_ecs ec2-user@54.152.108.134 


_| ( \._\ Amazon ECS-Optimized Amazon Linux AMI 
| 


[ec2-user@ip-172-31-36-83 ~]$ docker ps 


CONTAINER ID IMAGE ..。 PORTS NAMES 
36d590a206df wordpress:4 ... 0.0.0.0:80->80/tcp ecs-wordpress.. 
893d1bd24421 mysql:5 ... 3306/tcp ecs-wordpress... 
81023576f81e amazon/amazon-ecs ... 127.0.0.1:51678->51678/tcp ecs-agent 


享受 ECS 吧 ， 并 时 刻 关 注 ECS 的 改进 以 及 公开 发 布 。 


8.13.4 ”参考 


。 任务 定义 参考 文档 (http://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_defintions. 
html) 
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8.14 利用 AWS Beanstalk 对 Docker 的 支持 在 云 
中 运行 应 用 程序 


8.14.1 问题 


你 希望 在 云 中 只 需要 上 传 Dockerfile 就 能 部 署 一 个 基于 Docker 的 应 用 程序 。 你 希望 云 服务 
自动 启动 实例 并 对 可 能 的 负载 平衡 服务 进行 配置 。 


8.14.2 ”解决 方案 


使 用 AWS Elastic Beanstalk (http://aws.amazon.com/elasticbeanstalk/ )。Beanstalk 使 用 AWS 
EC2 实例 ， 可 以 自动 创建 弹性 的 负载 平衡 和 安全 组 ， 并 对 你 的 应 用 程序 和 资源 进行 监控 。 
Beanstalk 对 Docker 的 支持 发 布 于 2014 年 4 月 (https://aws.amazon.com/blogs/aws/aws- 
elastic-beanstalk-for-docker/)。 最 初 Beanstalk 只 支持 单 容器 的 应 用 ， 但 是 最 近 AWS 发 布 了 
一 个 AWS ECS 和 Beanstalk 的 组 合 (http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/ 
create_deploy_docker_ecs.html) 。 这 个 组 合 人 允许 Beanstalk 将 ECS 集群 当 作 应 用 程序 的 运行 
环境 ， 并 在 一 个 实例 中 运行 多 个 容器 。 

为 了 说 明 Beanstalk 对 Docker 的 支持 ， 你 将 要 通过 AWS CLI 工具 构建 一 套 Beanstalk 环境 ， 
并 通过 单一 的 Dockerfile 文件 部 署 2048 这 个 游戏 (http://gabrielecirulli.github.io/2048/)。 这 
个 例子 参 攻 了 官方 Beanstalk 文档 (http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/ 
create_deploy_docker_image.html js 


在 开始 之 前 ， 你 需要 满足 以 下 几 个 条 件 。 

。 一 个 AWS 账号 (参见 范例 8.1) 

。 AWS CLI (参见 范例 8.2) 

。 访问 Beanstalk 管理 控制 台 (https://console.aws.amazon.com/elasticbeanstalk/) 并 根据 屏 
幕 指 示 注 册 Beanstalk 

部 署 应 用 程序 需要 下 面 三 步 。 

(1) 使 用 awscli 创建 一 个 Beanstalk 应 用 程序 。 

(2) 基于 Docker 软件 栈 创 建 一 个 Beanstalk 环境 。 这 个 Docker 软件 栈 在 Beanstalk 中 被 称 为 
解决 方案 栈 。 

(3) 创建 一 个 Dockerfile 文件 并 通过 eb CLI 部 署 。 






































所 有 这 些 步骤 都 可 以 通过 AWS 管理 控制 台 完 成 。 本 范例 将 会 完全 基于 CLI 
进行 部 署 ， 但 是 awsclti 调用 的 输出 已 进行 删 减 。 

















使 用 AWS CLI 创建 一 个 名 为 foobar 的 应 用 程序 ， 查 看 可 用 的 解决 方案 栈 ， 然 后 选择 你 需 





要 的 Docker 环境 。 使 用 你 选择 的 解决 方案 栈 创建 一 个 配置 文件 模板 ， 最 后 创建 一 个 环境 ， 
如 下 所 示 。 


$ aws elasticbeanstalk create-application --application-name foobar 





$ aws elasticbeanstalk list-available-solution-stacks 


$ aws elasticbeanstalk create-configuration-template 
--application-name foobar 
--solution-stack-name="64bit Amazon Linux 2014.09 v1.2.1 \ 
running Docker 1.5.0" 
--template-name foo 


$ aws elasticbeanstalk create-environment 
--application-name foobar 
--environment-name cookbook 
--template-name foo 


这 时 如 果 你 打开 AWS Beanstalk 管理 控制 台 页 面 ， 将 会 看 到 一 个 名 为 foobar 的 应 用 程序 和 
名 为 cookbook 的 Beanstalk 环境 已 经 成 功 创建 。 


当 创建 完 Beanstalk 环境 之 后 ， 你 可 以 使 用 describe-environments API 来 确认 Beanstalk 环 
境 是 否 已 经 创建 完成 。 


在 管理 控制 台中 ， 你 将 会 看 到 同时 被 创建 的 还 有 一 个 EC2 主机 实例 、 一 个 安全 组 以 及 一 个 
弹性 负载 平衡 。 你 可 以 通过 Beanstalk 管理 控制 台 对 负载 平衡 进行 配置 。 


回 到 我 们 的 CLI 步骤 ， 检 查 一 下 Beanstalk 环境 是 否 已 经 就 纤 ， 如 下 所 示 。 


$ aws elasticbeanstalk describe-environments 

















也 

















| DescribeEnvironments | 
+ + 
[| Environments | 
|+------------------ + +| 
|| ApplicationName | foobar | 
|| CNAME | cookbook-pmpgzmx2e6.elasticbeanstalk.com | 
|| DateCreated | 2015-03-30T15:32:47.814z | 
|| DateUpdated | 2015-03-30T15:38:14.291z | 
|| EndpointURL | awseb-e-7-AWSEBLoa-CUXDVD6RL9R7-992275618.eu-west-1...|| 
|| EnvironmentId | e-7hamntqqnw | 
|| EnvironmentName | cookbook | 
|| Health | Green | 
|| SolutionSstackName| 64bit Amazon Linux 2014.09 v1.2.1 running Docker 1.5.0|| 
|| Status | Ready | 
|+------ + +| 
| Tier 1 
[RN 和 +|| 
||| Name | WebServer | 
||| Type | Standard | 
||| Version | | 
由 肛 ee +|| 


当 Beanstalk 环境 准备 好 之 后 ， 就 可 以 将 你 的 Docker 应 用 程序 推送 到 Beanstalk 环境 。 这 
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可 以 通过 eb CLI 轻松 完成 ， 不 过 不 幸 的 是 ， 这 个 工具 不 包括 在 awscti 中 。 为 了 完成 部 署 ， 


你 需要 执行 下 面 的 操作 。 

(1) 安装 awsebcli。 

(2) 创建 你 的 Dockerfile 文件 。 

(3) 初始 化 之 前 创建 的 foobar 应 用 程序 。 

(4) 查看 Beanstalk 环境 ， 确 认 是 否 使 用 的 是 之 前 创建 的 cookbook 环境 。 
(5) 部 署 这 个 应 用 程序 。 





让 我 们 这 就 开始 : 安装 awsebcti， 然 后 创建 你 的 应 用 程序 目录 ， 并 在 这 个 目录 下 创建 














Dockerfile 文件 ， 如 下 所 示 。 


$ sudo pip install awsebcli 
$ mkdir beanstalk 

$ cd beanstalk 

$ cat > Dockerfile 

FROM ubuntu:12.04 


RUN apt-get update 
RUN apt-get install -y nginx zip curl 


RUN echo "daemon off;" >> /etc/nginx/nginx.conf 


RUN curl -o /usr/share/nginx/www/master.zip -L https://codeload.github.com/ \ 


gabrielecirulli/2048/zip/master 


RUN cd /usr/share/nginx/www/ && unzip master.zip && mv 2048-master/* . && \ 


rm -rf 2048-master master.zip 
EXPOSE 80 


CMD ["/usr/sbin/nginx", "-c", "/etc/nginx/nginx.conf"] 





然后 你 就 可 以 使 用 eb CLI 来 初始 化 应 用 程序 〈 使 用 上 面 步骤 中 的 应 用 程序 名 foobar) ， 再 











使 用 eb deploy 部 署 该 应 用 程序 ， 如 下 所 示 。 


$ eb init foobar 

$ eb list 

* cookbook 

$ eb deploy 

Creating application version archive "app-150331_181300". 





Uploading foobar/app-150331_181300.zip to S3. This may take a while. 


Upload Complete. 
INFO: Environment update is starting. 


INFO: Successfully built aws_beanstalk/staging-app 

















INFO: Docker container ba7e79c37c43 is running aws_beanstalk/current-app. 


INFO: New application version was deployed to running EC2 instances. 


INFO: Environment update completed successfully. 














现在 你 的 应 用 程序 已 经 部 署 完 成 。 打 开 Beanstalk 管理 控制 台 (参见 图 8-12) ， 你 会 看 到 该 


























应 用 程序 的 URL， 单 击 这 个 URL 就 可 以 打开 2048 游戏 。 在 这 个 应 用 程序 前 下 














i 有 一 个 弹性 





负载 平衡 ， 也 就 是 说 ， 随 着 游戏 负载 的 增加 ， 将 会 触发 创建 新 实例 的 动作 ， 该 实例 在 负载 





平衡 后 面 提供 游戏 应 用 。 














大 
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AWS ~ Services ~ 





sebastien ~ Ireland ~ Support ~ 


上 Elastic Beanstalk deploy Y foobar Y help Y My First Elastic Beanstalk Application Y Create New Environment 
foobar » cookbook ( cookbook-e3h2ufjshc.elasticbeanstalk.com ) Actions ~ 
| ， 
lBeshboar Overview C Refresh 

Configuration 

Logs Health Running Version 

人 
i Green app-150331_181300 之 二 一 了 
Monitoring 
Alarms Monitor Upload and Deploy doc ke 『 
Configuration 
Events 
64bit Amazon Linux 2014.09 
Tags V1.2.1 running Docker 1.5.0 
Change 
Recent Events Show All 
Time Type Details 


2015-03-31 18:16:54 UTC+0200 


INFO 


Environment update completed successfully. 








8-12: AWS Beanstalk 管理 控制 台 


8.14.3 讨论 











在 以 上 例子 中 ， 我 们 的 应 用 程序 封装 在 了 单一 的 Dockerfile 文件 中 ， 且 没有 任何 外 部 依赖 。 
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9.0 简介 


当 对 分 布 式 系 统 和 分 布 式 应 用 程序 进行 运 维 时 ， 你 希望 能 够 获得 尽 可 能 详细 的 信息 。 你 需 
要 长 期 对 大 量 的 资源 进行 监控 ， 预 测 成 长 趋势 ， 并 触发 警报 。 你 还 需要 收集 在 容器 中 运行 
的 所 有 进程 的 日 志 并 进行 汇总 ， 将 数据 进行 持久 化 存储 以 便 对 这 些 日 志 做 进一步 的 索引 和 
搜索 。 最 后 ， 你 还 需要 对 所 有 这 些 信息 进行 可 视 化 ， 以 便 快速 浏览 应 用 程序 的 状态 ， 并 在 
需要 的 时 候 进行 调试 。 

本 章 首先 会 介绍 一 些 基本 的 Docker 命令 ， 你 可 以 在 小 规模 部 署 环境 下 或 者 需要 深入 地 对 指 
定 容器 镜像 研究 时 ， 使 用 这 些 命令 进行 基本 的 调试 。 范 例 9.1 会 介绍 docker inspect 命令 ， 
这 个 命令 会 返回 给 你 所 有 关于 指定 容器 的 信息 。 范 例 9.2 会 告诉 你 怎么 使 用 docker stats 
来 获得 关于 特定 容器 的 资源 使 用 情况 的 流 人 信息。 最后， 范例 9.3 将 会 介绍 docker events 命 
令 ， 该 命令 会 监听 某 一 主机 上 的 所 有 Docker 事件 。 这 些 功能 都 可 以 通过 Docker 的 API 来 
实现 ， 因 此 你 可 以 通过 支持 这 些 API 的 任何 Docker 客户 端 来 使 用 这 些 功 能 。 


当 构建 应 用 程序 时 ， 你 需要 收集 在 容器 中 运行 的 服务 的 运行 日 志 。 这 并 不 是 什么 特殊 的 监 
控 内 容 ， 但 是 有 时 候 你 可 以 从 日 志 中 发 现 新 的 需要 监控 的 指标 。Docker 提供 了 一 种 简单 的 
机 制 来 查看 在 容器 中 运行 的 前 台 进 程 的 stdout， 在 范例 9.4 中 会 对 此 进行 介绍 。 你 也 可 以 
将 这 些 日 志 重 定向 到 远程 syslog 服务 器 ， 或 者 其 他 的 日 志 聚 合 系统 ， 例 如 Fluentd， 我 们 在 
范例 9.5 中 会 对 此 进行 介绍 。 在 日 志 记录 驱动 程序 功能 出 现 之 前 ， 有 一 个 用 于 解决 日 志 问 
题 的 容器 方案 备 受 瞩目 ， 就 是 Logspout， 在 范例 9.6 中 ， 我 们 会 向 你 介绍 Logspout 是 如 何 
工作 的 。 尽 管 现在 我 们 不 再 需要 使 用 它 了 ， 但 是 作为 一 个 有 趣 的 软件 ， 还 是 值得 花 些 时 间 
去 了 解 一 下 。 作 为 该 节 的 结束 部 分 ， 我 们 会 在 范例 9.8 中 介绍 如 何在 容器 中 部 团 ELK 应 用 
栈 。ELK 是 Elasticsearch、Logstash 和 Kibana 的 简称 。Logstash 是 一 个 日 志 聚 合 系统 ， 可 
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以 将 数据 传送 到 Elasticsearch。Elasticsearch 是 一 个 分 布 式 数据 存储 ， 提 供 了 有 效 的 索引 
和 搜索 功能 。Kibana 是 一 个 仪表 盘 系 统 ， 对 保存 在 Elasticsearch 中 的 数据 进行 可 视 化 。 如 
果 想 要 一 个 ELK 的 奉 代 品 ， 那 么 可 能 你 会 喜欢 范例 9.11， 此 范例 会 以 InfluxDB (https:// 
influxdb.com) 作为 数据 存储 ， 以 Grafana (http://grafana.org) 作为 仪表 盘 进 行 说 明 。 


尽管 docker stats 为 你 提供 了 单一 容器 使 用 情况 的 统计 镜像 ， 但 是 你 可 能 想 收 集 多 个 容 
器 的 指标 数据 并 对 这 些 指标 进行 聚合 。 范 例 9.9 是 一 个 高 级 范例 ， 涵 盖 了 多 个 概念 。 它 
由 两 台 主 机 组 成 ， 一 台 主 机 上 运行 着 ELK 应 用 栈 ， 而 另 一 台 主 机 上 运行 着 Logspout 和 
collectd (https://collectd.org)， 这 是 一 个 用 来 收集 系统 统计 信息 的 守护 进程 。 在 这 个 范 
例 中 ， 第 二 台 主 机 上 的 coLLectd 会 通过 docker stats API 来 收集 所 有 在 该 主机 上 运行 的 
容器 的 资源 使 用 情况 ， 并 进一步 通过 Logspout 进行 聚合 ， 最 后 将 这 些 数据 发 送 到 ELK 
主机 上 。 如 果 你 需要 部 署 自己 的 监控 解决 方案 ， 那 么 这 部 分 内 容 非 常 值得 一 读 。 虽 然 上 
面 的 方案 非常 完美 ， 不 过 我 们 还 是 会 在 范例 9.10 中 介绍 一 下 cAdvisor， 它 是 一 个 容器 化 
(containerized) 容器 监控 解决 方案 。 你 可 以 在 所 有 Docker 主机 上 部 署 cAdvisor， 它 会 监视 
所 有 在 主机 上 运行 的 容器 的 所 有 资源 使 用 情况 。 

在 本 章 的 最 后 ， 我 们 会 在 范例 9.12 中 介绍 一 下 Weave Scope， 这 是 一 个 容器 基础 设施 的 可 
视 化 工具 。 想 象 一 下 你 的 整个 应 用 由 数 千 个 容器 组 成 ， 拥 有 一 个 分 布 式 应 用 的 交互 式 管理 
器 应 该 是 非常 具有 吸引 力 的 。Weave Scope 上 其 备 满足 这 一 需求 的 潜力 ， 它 能 让 你 对 自己 的 
应 用 程序 有 一 个 深入 的 理解 。 


9.1 使 用 docker inspect 命 令 获取 容器 的 详细 信息 


9.1.1 问题 


你 想 获 得 关于 某 个 容器 的 详细 人 信息， 比如， 这 个 容器 是 什么 时 候 创 建 的 ， 运 行 的 是 什么 命 
令 ， 都 有 哪些 端口 映射 ， 容 器 的 全 地址 是 什么 ， 等 等 。 


9.1.2 解决 方案 
使 用 docker inspect 命令 。 比 如 ， 启 动 一 个 Nginx 容器 并 使 用 inspect， 如 下 所 示 。 


$ docker run -d -p 80:80 nginx 
$ docker inspect kickass_babbage 


[{ 


























"AppArmorPprofile": "", 
"Args": [ 

"_g", 

"daemon off;" 


]， 


"ExposedPorts": { 
"443/tcp": {}, 
"80/tcp": 全 

]， 
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"NetworkSettings": { 


"IPAddress": "172.17.0.3"， 


inspect 命令 也 可 以 对 Docker 镜像 进行 操作 ， 如 下 所 示 。 


$ docker inspect nginx 


[{ 
"Architecture": "amd64", 
"Author": "NGINX Docker Maintainers \"docker-maint@nginx.com\"", 
"Comment": "" 
"Config": { 


"AttachStderr": false, 
"AttachStdin": false, 
"AttachStdout": false, 
"Cmd": [ 


"daemon off;" 


]， 


9.1.3 讨论 
Docker 的 inspect 命令 有 一 个 format 参数 ， 你 可 以 通过 该 参数 指定 一 个 Golang 模板 来 获 
得 一 个 容器 或 者 镜像 中 指定 的 部 分 信息 ， 而 不 是 全 部 的 信息 的 JSON 输出 ， 如 下 所 示 。 


$ docker inspect --help 
Usage: docker ;inspect [OPTIONS] CONTAINER|IMAGE [CONTAINER|IMAGE...] 
Return low-level information on a container or image 


-f, --format="" Format the output using the given go template. 
--help=false Print usage 


比如 ， 可 以 这 样 获得 一 个 运行 中 容器 的 IP 地址 ， 并 检查 其 运行 状态 : 


$ docker inspect -f '{{ .NetworkSettings.IPAddress }}' kickass_babbage 
172.17.0.3 

$ docker inspect -f '{{ .State.Running }}' kickass_babbage 

true 


如 果 你 喜欢 使 用 其 他 Docker 客户 端 ， 比 如 docker-py (参见 范例 4.10) ， 那 么 也 可 以 通过 标 
准 Python 字典 类 型 (notation) 来 获取 容器 或 者 镜像 的 详细 信息 ， 如 下 所 示 。 


$ python 








>>> from docker import Client 

>>> c=Client(base_url="unix://var/run/docker .sock") 

>>> c.inspect container('kickass_babbage')['State']['Running'] 

True 

>>> Cc.inspect_container('kickass_babbage')['NetworkSettings']['IPAddress'] 
Uy'172.17.0.3" 
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9.2 ”获取 运行 中 容器 的 使 用 统计 信息 


9.2.1 问题 


你 有 一 个 在 某 一 Docker 主机 上 运行 的 容器 ， 你 想 监控 该 容器 的 资源 使 用 情况 (比如 内 存 、 
CPU 和 网 络 )。 


9.2.2 ”解决 方案 


使 用 docker stats 命令 。 这 个 新 API 接口 最 初 是 2015 年 2 月 10 日 发 布 的 ， 在 Docker 1.5 
之 后 都 可 以 使 用 。 它 的 使 用 方法 非常 简单 :指定 容器 名 (或 容器 ID) ， 然 后 获取 关于 该 容 
器 统计 信息 的 流 输 出 。 这 里 我 们 以 启动 一 个 Flask 应 用 容器 为 例 ， 对 它 调用 stats 方法 ， 
如 下 所 示 。 

$ docker run -d -p 5000:5000 runseb/flask 

$ docker stats dreamy_mccarthy 


CONTAINER CPU % MEM USAGE/LIMIT MEM % ~ NET I/0 
dreamy_ mccarthy 0.03% 24.01 MiB/1.955 GiB 1.20% 648 B/648 B 


由 于 你 接收 到 的 是 一 个 流 输 出 ， 所 以 不 能 通过 同时 按 Ctrl+C 键 来 终止 流 。 


9.2.3 讨论 

通过 命令 行 来 快速 获取 容器 的 统计 信息 对 交互 式 调试 非常 有 用 。 但 是 ， 你 应 该 会 希望 通过 
类 似 Logstash (http://logstash.net) 这 样 的 日 志 收 集 系 统 来 收集 所 有 统计 信息 并 进行 聚合 ， 
以 供 之 后 的 可 视 化 和 分 析 。 

为 了 准备 这 样 的 监控 框架 ， 你 可 以 使 用 curl 命令 通过 TCP 请 求 Docker 守护 进程 来 调用 
Docker 的 stats API。 

首先 ， 你 需要 配置 本 地 Docker 守护 进程 让 它 监 听 TCP 的 2375 端口 。 在 Ubuntu 系统 上 ， 
可 以 编辑 /etc/default/docker 文件 来 确保 该 文件 包含 以 下 内 容 。 


DOCKER_OPTS="-H tcp://127.0.0.1:2375" 


然后 ， 通 过 sudo service docker restart 来 重启 Docker 守护 进程 ， 现 在 你 就 可 以 使 用 curL 
来 访问 Docker remote API 了 。 这 个 API 的 语法 (http://docs.docker.com/engine/reference/api/ 
docker_remote_api_v1.17/) 同样 非常 简单 : 它 是 一 个 HTTP GET 请 求 ，URI 为 /containers/ 
(id)/stats。 我 们 可 以 像 下 面 这 样 试 一 下 。 

5 $ docker -H tcp://127.0.0.1:2375 run -d -p 5001:5000 runseb/flask 

$ curl http://127.0.0.1:2375/containers/agitated_albattani/stats 


"read":"2015-04-01T11:48:40.6094699137",\ 
"network":{"rx_bytes":648,"rx_packets":8,"... 


别 忘 了 将 agitated_albattani 替换 为 你 自己 的 容器 的 名 称 。 之 后 你 将 会 开始 接收 到 统计 信 


息 的 输出 流 ， 你 可 以 通过 CtrltC 来 中 断 接收 流 。 考 虑 到 印刷 效果 ， 我 删除 了 上 面 命 令 输 
出 的 很 多 内 容 。 如 果 你 只 是 想 尝 斌 一下， 那么 这 种 方式 非常 方便 ,但 是 如 有 果 你 喜欢 Python 
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(比如 我 )， 可 能 希望 从 Python 程序 中 获取 容器 的 统计 信息 。 这 可 以 通过 使 用 docker-py 











(参见 范例 4.10) 来 实现 。 下 面 的 Python 脚本 展示 了 该 API 的 正确 使 用 方式 。 


#!/usr/bin/env python 





import json 
import docker 
import sys 


cli=docker.Client(base_uyrl='tcp://127.0.0.1:2375') 
stats=cli.stats(sys.argv[1]) 
print json.dumps(json.loads(next(stats).rstrip('\n')),indent=4) 


Python 中 的 stats 对 象 是 一 个 generator， 它 不 像 普 通 函 数 那样 进行 标准 返 
回 ， 而 是 一 有 返回 结果 就 会 对 结果 进行 调用 。 它 用 来 获取 统计 信息 的 输出 
流 ， 并 从 上 次 中 断 的 地 方 继续 处 理 。 脚 本 中 的 next(stats) 方法 用 于 从 流 中 
得 到 最 新 结果 。 








9.2.4 ”参考 


。 最 初 stats 在 GitHub 上 的 合并 请 求 (https://github.com/docker/docker/pull/9984) 
。 API 文档 (http://docs.docker.com/engine/reference/api/docker_remote_api_v1.17/) 


9.3 在 Docker 主 机 上 监听 Docker 事 件 


9.3.1 问题 


尔 想 监控 主机 上 的 Docker 事件 。 你 对 取消 镜像 的 标记 、 删 除 镜 像 以 及 容器 的 生命 周期 





件 〈 比 如 创建 、 销 毁 和 终止 ) 感 兴趣 。 


9.3.2 解决 方案 





二 


= 





使 用 docker events 命令 。 该 命令 会 返回 你 的 Docker 主机 上 发 生 的 所 有 Docker 事件 流 。 


该 命令 可 以 接受 一 些 可 选 参数 ， 比 如 ， 你 可 以 设置 只 返回 指定 类 型 的 事件 ， 如 下 所 示 。 


$ docker events --help 





Usage: docker events [OPTIONS] 


Get real time events from the server 


-f, --filter=[] Provide filter values (i.e., 'event=stop') 
--help=false Print usage 

--Ssince="" Show all events created since timestamp 
--until="" Stream events until this timestamp 


默认 情况 下 ，docker events 会 持续 运行 并 阻塞 ， 直 到 你 按 下 Ctrl+C 来 终止 接收 事件 流 ， 











不 过 你 也 可 以 像 下 面 这 样 使 用 - -since 或 者 --until 选项 。 


$ docker events --since 1427890602 

2015-04-01T12:17:04....9393146cb55e5bc9f04e20eb5a0622b3e26aae7: unta 
2015-04-01T12:17:09....d5266f8777bfba4974ac56e3270e7760f6f0a81: unta 
2015-04-01T12:17:22....d5266f8777bfba4974ac56e3270e7760f6f0a85: unta 
2015-04-01T12:17:23....66f8777bfba4974ac56e3270e7760f6f0a81253: dele 
2015-04-01T12:17:23....e9b5a793523481a0a18645fc77ad53c4eadsfa2: dele 
2015-04-01T12:17:23....878585defcc1lbc6f79d2728a13957871b345345: dele 





























流 
> 





9.3.3 讨论 


9 
9 
9 
te 
te 
te 


只 是 一 个 提醒 ， 你 可 以 通过 date +"%s" 命令 获取 当前 的 时 间 惟 。 


Docker 也 提供 了 与 events 命令 相同 的 API 调用 ， 你 可 以 使 用 curl 命令 来 调用 这 个 接口 


(参见 范例 9.2)。 让 我 们 把 这 当 作 一 个 练习 ， 并 来 看 一 个 使 用 docker-py 取得 Docker 事件 





列表 的 例子 。 





以 在 docker-py 中 使 用 Unix Docker socket。 











在 范例 9.2 中 ， 我 们 重新 配置 了 Docker 守护 进程 选项 来 启用 基于 TCP 的 远程 API。 你 也 可 





下 面 这 个 Python 脚本 就 是 一 个 示例 ， 它 能 省 去 你 重新 对 Docker 守护 进程 进行 配置 的 麻烦 。 











#!/usr/bin/env python 
import json 

import docker 

import sys 


cli=docker.Client(base_url='unix://var/run/docker .sock') 
events=cli .events(since=sys.argv[1],until=sys.argv[2]) 
for e in events: 

print e 


这 个 脚本 接受 两 个 时 间 发 参数， 并 返回 在 这 两 个 时 间 范 围 之 内 的 Docker 引 

















个 输出 的 例子 。 


$ ./events.py 1427890602 1427891476 

{"status":"untag","id":"967a84dbleff36cab6e77fe9c9393146c...","time" 
{"status":"untag","id":"4986bf8c15363d1ic5d15512d5266f8777...","time" 
{"status":"untag","id":"4986bf8c15363d1ic5d15512d5266f8777...","time" 
{"status":"delete","id":"4986bf8c15363d1ic5d15512d5266f877...","time" 
{"status":"delete","id":"ea1l3149945cb6b1le746bf28032f02e9b...","time" 
{"status":"delete","id":"df7546f9f060a2268024c8a230d86398...","time" 


事件 。 下 面 是 一 


:1427890624} 
:1427890629} 
:1427890642} 
:1427890643} 
:1427890643} 
:1427890643} 


一 些 诸如 StackStorm (http://stackstorm.com) 等 基于 事件 的 工具 充分 利用 了 Docker 事件 功 








能 ， 可 以 对 基于 Docker 的 基础 设施 的 多 个 组 成 部 分 进行 编排 。 








9.3.4 ”参考 


。 API 文 档 (http://docs.docker.com/engine/reference/api/docker_remote_api_v1.17/) 
9.4 使 用 docker logs 命 令 获取 容器 的 日 志 


9.4.1 问题 


你 有 一 个 运行 中 的 容器 ， 容 器 中 有 一 个 以 前 台 方 式 运行 的 进程 。 你 希望 在 该 容器 所 在 主机 
上 访问 这 个 进程 的 日 志 。 


9.4.2 ”解决 方案 
使 用 docker logs 命令 。 
举 个 例子 ， 启 动 一 个 Nginx 容器 ， 并 在 浏览 器 上 打开 该 主机 的 80 端口 ， 如 下 所 示 。 


$ docker run -d -p 80:80 nginx 








$ docker ps 

CONTAINER ID IMAGE ... PORTS NAMES 
ddoe926c4015 nginx:latest ... 443/tcp, 0.0.0.0:80->80/tcp gloomy_mclean 
$ docker logs gloomy_mclean 

192.168.34.1 - - [10/Mar/2015:10:12:35 +0000] "GET / HTTP/1.1" 200 612 "-" ... 


9.4.3 a 
你 可 以 通过 -f 选项 获得 一 个 持续 输出 的 日 志 流 ， 如 下 所 示 。 


$ docker logs -f gloomy_mclean 
192.168.34.1 - - [10/Mar/2015:10:12:35 +0000] "GET / HTTP/1.1" 200 612 "-" ... 





此 外 ， 你 可 以 通过 docker top 命令 来 监控 容器 内 运行 的 进程 ， 如 下 所 示 。 


$ docker top gloomy_mclean 


UID PID PPID ... CMD 
root 5605 4732 ... Nginx: master process nginx -g daemon off; 
syslog 5632 5605 ... Nginx: worker process 
9.5 ”使 用 Docker 守 护 进 程 之 外 的 日 志 记 录 驱 动 程序 
9.5.1 问题 


默认 情况 下 ，Docker 通过 JSON 文件 来 保存 容器 的 日 志 。 你 可 以 通过 docker logs 命令 来 
查看 容器 的 日 志 (参见 范例 9.4) 。 但 是 你 又 想 使 用 不 同 的 方式 来 收集 日 志 并 进行 聚合 ， 你 
有 可 能 会 使 用 systLog 或 者 journald 这 样 的 机 制 。 








9.5.2 ”解决 方案 


启动 容器 时 可 以 通过 --log-driver 选项 指定 一 个 日 志 记 录 驱 动 程序 。 这 个 功能 是 Docker 
1.6 才 有 的 ， 并 且 随 着 新 版 本 Docker 的 发 布 ， 又 有 一 些 日 志 记 录 驱 动 程序 正在 逐步 添 
加 进来 。 使 用 Docker 的 日 志 记 录 驱 动 程序 功能 ， 你 可 以 将 Docker 容器 日 志 重 定向 到 
syslog、journald、GELF (Graylog Extended Log Format, https:/www.graylog.org) “和 
Fluentd (http://www.fluentd.org)。 当 然 ， 你 也 可 以 通过 将 日 志 记 录 驱 动 程序 设置 为 - -Log- 
driver=none 来 完全 禁用 日 志 记 录 功 能 。 所 有 日 志 记 录 驱 动 程序 及 其 配置 选项 都 提供 了 详 
细 的 文档 (https://docs.docker.com/reference/logging/overview/)。 











如 果 你 使 用 了 默认 json-file 驱动 程序 之 外 的 日 志 记 录 驱 动 程序 ， 那 么 
docker logs 命令 就 不 能 工作 了 。 








你 可 以 使 用 日 志 记录 驱动 程序 功能 将 你 的 日 志 重 定向 到 本 地 syslog 或 journald。 但 是 为 
了 以 更 高 级 的 方式 对 日 志 记 录 驱 动 程序 功能 进行 说 明 ， 我 们 这 里 会 采用 Fluentd 来 收集 运 
行 中 容器 的 所 有 日 志 。 首 先 ， 你 需要 在 Docker 主机 上 安装 Fluentd。 最 简单 的 安装 方式 就 
是 使 用 Treasure Data (http://www.treasuredata.com) 提供 的 称 为 td-agent 的 Fluentd 发 行 版 。 
如 果 你 相信 它们 的 安装 脚本 ， 也 可 以 通过 curl 命令 来 安装 td-agent， 如 下 所 示 。 


$ curl -L https://td-toolbelt.herokuapp.com/sh/\ 
install-ubuntu-trusty-td-agent2.sh | sh 


软件 包 安 装 完成 后 ， 你 需要 对 td-agent 进行 配置 ， 告 诉 它 去 匹配 什么 样 的 事件 ， 并 
重 定向 到 指定 的 位 置 。 比 如 ， 要 想 匹 配 所 有 Docker 事件 (默认 Docker 事件 会 打上 
docker .<CONTAINER_ID> 标签 )， 并 将 它们 重 定向 到 标准 输出 ， 你 需要 编辑 td-agent 的 配置 
文件 /etc/td-agent/td-agent.conf， 添 加 下 面 的 内 容 。 


<match docker.**> 
type stdout 
</match> 


然后 重启 td-agent 服务 ， 如 下 所 示 。 

$ sudo service td-agent restart 
现在 你 已 经 可 以 使 用 Fluentd 来 管理 你 的 Docker 日 志 了 。 让 我 们 启动 一 个 Nginx 容器 并 使 
用 这 个 日 志 记 录 驱 动 程序 ， 如 下 所 示 。 

$ docker run -d -p 80:80 --name nginx --Log-driver=fLuentd nginx 
现在 如 果 你 从 浏览 器 访问 Nginx 容器 ， 然 后 去 检查 一 下 td-agent 的 日 志文 件 ， 就 会 发 现 
Docker 容器 的 日 志 如 下 所 示 。 


$ tail -n 3 /var/Log/td-agent/td-agent.Log 




















2015-08-17 13:41:10 docker.dc3a645abfaa: {"Log":"192.168.33.1 ...,\ 
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"container_id":"dc3a645abfaa...",\ 
"container_name":"/nginx",\ 


"source":"stdout"} 


你 会 看 到 ，Docker 的 日 志 都 被 加 上 了 docker.<CONTAINER_ID> 前 级 。 如 果 想 为 Docker 日 志 设 
置 其 他 前 级 ， 你 可 以 传递 一 个 Go 模板 参数 (现在 支持 {{.ID}}、{{.FullID}}、{{.Name}})。 
比如 ， 你 想 将 Docker 日 志 的 前 级 设置 为 容器 名 称 ， 则 可 以 像 下 面 这 样 来 设置 Log-opt 选项 。 


$ docker kill nginx 
$ docker rm nginx 
$ docker run -d -p 80:80 --name nginx \ 
--Log-driver=fLuentd \ 
--Log-opt fluentd-tag=docker.{{.Name}} nginx 











新 的 日 志 将 会 像 下 面 这 样 。 


$ tail -n 3 /var/log/td-agent/td-agent.log 











2015-08-17 13:43:45 docker./nginx: {"container_id":"e4152ad9bdba...",\ 
"container_name":"/stupefied franklin",\ 
"source":"stdout",\ 
"10g":"192.168.33.1 ...} 


在 这 个 例子 中 ， 你 只 是 将 Docker 容器 的 日 志 重 定向 到 了 Fluentd 自己 的 日 志 ， 在 实际 环境 
中 并 没有 多 大 用 处 。 在 部 署 生产 环境 时 ， 你 可 能 会 将 日 志 重 定向 到 远程 数据 存储 ， 比 如 


eLasticsearch、infLuxdb 或 mongoDB 。 











9.5.3 讨论 


在 解决 方案 部 分 ， 我 们 在 Docker 主机 上 以 本 地 服务 方式 启动 了 td-agent。 你 也 可 以 在 本 地 
以 容器 方式 来 运行 它 。 在 你 的 当前 工作 目录 下 ， 创 建 一 个 名 为 test.conf 的 配置 文件 ， 其 内 
容 如 下 所 示 。 
<source> 
type forward 
</source> 
<match docker.**> 


type stdout 
</match> 


接着 让 我 们 启动 fluentd 容器 。 你 需要 指定 一 个 卷 来 将 本 地 配置 文件 挂 载 到 运行 的 容器 中 ， 
并 通过 设置 一 个 环境 变量 指向 该 文件 ， 如 下 所 示 。 


$ docker run -it -d -p 24224:24224 -v /path/to/conf:/fluentd/etc \ 
-e FLUENTD_CONF=test.conf fLuent/fLuentd:Latest 


默认 配置 下 ，fluentd 日 志 记 录 驱 动 程序 会 连接 在 本 地 主机 上 监听 24224 端口 的 fLuentd 
服务 器 。 因 此 ， 当 你 以 --log-driver=fluentd 选项 启动 其 他 容器 时 ， 该 容器 会 自动 连接 到 
在 上 面容 器 中 运行 的 fluentd。 


像 前 面 的 例子 一 样 ， 我 们 现在 启动 一 个 Nginx 容器 ， 并 使 用 docker logs 命令 查看 Fluentd 
容器 的 日 志 。 
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9.5.4 参考 


。 配置 Docker 日 志 记 录 驱 动 程序 (https://docs.docker.com/reference/logging/overview/) 
。 Docker 的 Fluentd 日 志 记 录 驱 动 程序 文档 (https://github.com/docker/docker/blob/master/ 
docs/reference/logging/fluentd.md) 


9.6 使 用 Logspout 采 集 容 器 日 志 


9.6.1 问题 


在 范例 9.4 中 我 们 已 经 看 到 ， 容 器 的 日 志 志 可 以 通过 docker logs 命令 来 查看 ， 但 是 你 想 从 
在 不 同 Docker 主机 上 运行 的 容器 中 收集 日 志 并 进行 聚合 。 


9.6.2 ”解决 方案 


使 用 Logspout (https://github.com/gliderlabs/logspout)。Logspout 可 以 收集 一 台 Docker 主机 
上 的 所 有 容器 的 日 志 并 把 它们 路 由 到 其 他 主机 。 它 以 容器 的 方式 运行 ， 并且 是 完全 无 状态 
的 。 


你 可 以 使 用 Logspout 将 日 志 路 由 到 一 台 syslog 服务 器 或 者 发 送 到 Logstash (http://logstash. 
net) 来 处 理 。Logspout 诞生 于 Docker 1.6 之 前 ， 也 正 是 在 这 个 版 本 中 ，Docker 引入 了 日 志 
记录 驱动 程序 (参见 范例 9.5) 功能 。 现 在 你 仍然 可 以 使 用 Logspout， 但 是 日 志 记 录 驱 动 
程序 功能 也 为 你 提供 了 一 种 进行 日 志 重 定向 的 简单 选择 。 


让 我 们 在 一 台 Docker 主机 上 安装 Logspout， 从 一 个 Nginx 容器 收集 日 志 。 你 的 nginx 在 宿 
主机 的 80 端口 上 运行 。 启 动 logspout， 将 宿主 机 的 Docker Unix socket/var/run/docker.sock 
挂 载 到 logspout 容器 的 /tmp/docker.sock 上 ， 并 指定 一 个 syslog 地 址 (这 里 使 用 了 另 一 
IP 地 址 为 192.168.34.11 的 Docker 主机 ) ， 如 下 所 示 。 

$ docker pull nginx 

$ docker pull gliderlabs/logspout 

$ docker run -d --name webserver -p 80:80 nginx 


$ docker run -d --name Logspout -v /var/run/docker.sock:/tmp/docker.sock \ 
gliderlabs/logspout syslog://192.168.34.11:5000 


为 了 收集 日 志 ， 你 需要 在 192.168.34.11 上 运行 Logstash 容器 。 为 方便 起 见 ， 它 将 会 在 UDP 
5000 端口 上 监听 syslog 输入 ， 并 全 部 输出 到 同一 台 主 机 的 标准 输出 中 。 先 从 拉 取 logstash 
镜像 开始 (在 这 个 例子 中 使 用 了 ehazlett/logstash 镜像 ， 但 是 还 有 很 多 其 他 Logstash 镜像 供 
你 选择 )。 镜 像 下 载 完 成 之 后 ， 你 需要 构建 自己 的 Logstash 镜像 并 使 用 自 定 义 Logstash 配 
置 文 件 (基于 ehazlett/logstash 镜像 的 /etc/logstash.conf.sample)， 如 下 所 示 。 

$ docker pull ehazlett/logstash 

$ cat Logstash.conf 

input { 

tcp { 


port => 5000 
type => syslog 
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} 
} 


filter { 
if [type] == "syslog" { 
grok { 
match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} \ 
%{SYSLOGHOST:syslog_hostname} \ 
%{DATA: syslog_program}(?:\[%{POSINT:syslog_pid}\])?: \ 
%{GREEDYDATA: syslog_message}" } 
add_field => [ "received at", "%{@timestamp}" ] 
add_fieLd => [ "received from", "%{host}" ] 
} 
syslog_pri { } 
date { 
match => [ "syslog_ timestamp", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ] 
} 
} 
} 


output { 
stdout { codec => rubydebug } 
} 


$ cat Dockerfile 
FROM ehazlett/logstash 


COPY Logstash.conf /etc/Logstash.conf 
ENTRYPOINT ["/opt/Logstash/bin/Logstash'"] 
$ docker build -t Logstash . 


现在 就 可 以 启动 Logstash 容器 了 ， 并 将 容器 的 5000 端口 绑 定 到 宿主 机 的 5000 端口 ， 监 听 
UDP 协议 的 通信 ， 如 下 所 示 。 

$ docker run -d --name Logstash -p 5000:5000/udp Logstash -f /etc/Logstash.conf 
如 果 打 开 浏 览 器 访问 第 一 个 Docker 主机 上 运行 的 Nginx，Logstash 容器 就 能 看 到 相应 的 日 
志 输 出 ， 如 下 所 示 。 


$ docker Logs Logstash 








[ 
"message" => "<14>2015-03-10T13:00:39Z 889bbf0753a8 nginx[1]: 192.168.34.1 - 入 
- [10/Mar/2015:13:00:39 +0000] \"GET / HTTP/1.1\" 200 612 \"-\" 
\"Mozilla/5.0 \ 
(Macintosh; InteL Mac 0S X 10 8_5) \ 
AppleWebKit/600.3.18 (KHTML, like Gecko) \ 
Version/6.2.3 Safari/537.85.12\" \"-\"\n", 
"@version" => "1"， 
"@timestamp" => "2015-03-10T13:00:36.2412Z"， 
"type" => "syslog", 
"host" => "192.168.34.10", 
"tags" => [ 





9.6.3 讨论 
为 了 简化 使 用 Logstash 对 Logspout 进行 的 测试 ， 你 可 以 克隆 本 书 附带 的 仓库 ， 切 换 到 
ch09/logspout 目录 。 该 目录 下 的 Vagrantfile 文件 会 启动 两 台 Docker 主机 ， 并 在 每 台 主 机 上 
拉 取 所 需要 的 Docker 镜像 ， 如 下 所 示 。 

$ git clone https://github.com/how2dock/docbook.git 

$ cd ch09/Logspout 

$ vagrant up 


$ vagrant status 
Current machine states: 


W running (virtualbox) 
elk running (virtualbox) 


在 web server 节点 上 ， 你 可 以 运行 Nginx 和 Logspout 容器 。 在 elk 节点 上 ， 你 可 以 运行 
Logstash 容器 ， 如 下 所 示 。 








$ vagrant ssh w 

$ docker run --name nginx -d -p 80:80 nginx 

$ docker run -d --name Logspout -v /var/run/docker.sock:/tmp/docker.sock \ 
gliderlabs/logspout syslog://192.168.34.11:5000 


vagrant ssh elk 
cd /vagrant 
docker build -t Logstash . 


$ 
$ 
$ 
$ docker run -d --name logstash -p 5000:5000/udp Logstash -f /etc/Logstash.conf 


你 应 该 会 在 Logstash 容器 中 看 到 Nginx 的 日 志 。 可 以 试 一 下 使 用 更 多 的 主机 和 不 同 的 容 
器 ， 并 使 用 Logstash 插件 将 你 的 日 志 以 不 同 的 格式 保存 。 


9.6.4 ”参考 


。 Logstash 官网 (http://logstash.net) 
。 Logstash 配置 说 明 (http://logstash.net/docs/1.4.2/configuration) 
。 用 于 Logstash 输入 、 输 出 、 编 码 解码 和 过 滤 的 插件 (http://logstash.net/docs/1.4.2/index) 


9.7 ”管理 Logspout 路 由 来 存储 容器 日 志 


9.7.1 问题 

你 正在 使 用 Logspout 将 日 志 流 发 送 到 远程 服务 器 ， 但 是 你 想 修改 远程 服务 器 的 URI。 特 别 
是 你 想 通过 直接 在 Logspout 中 查看 日 志 来 对 容器 进行 调试 ， 修 改 路 由 的 URI， 或 者 添加 更 
多 的 路 由 URI。 
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9.7.2 解决 方案 


在 范例 9.6 中 ， 你 可 能 已 经 广 意 到 了 Logspout 容器 暴露 了 8000 端口 。 你 可 以 使 用 这 个 端 
口 ， 通 过 简单 的 HTTP API 来 管理 路 由 。 


你 可 以 将 8000 端口 绑 定 到 宿主 机 上 ， 然 后 远程 访问 API， 但 是 作为 练习 ， 你 要 在 本 地 使 用 
链接 的 容器 来 实现 这 一 功能 。 拉 取 一 个 带 有 curl 命令 的 镜像 ， 然 后 启动 一 个 交互 式 容 器 。 
确认 你 能 ping 通 Logspout 容器 (这 里 假设 你 采用 与 范例 9.6 相同 的 设置 )。 然 后 通过 curl 
来 访问 位 于 http://logspout:8000 的 Logspout API。 

$ docker pull tutum/curl 

$ docker run -ti --Link Logspout:Logspout tutum/curl /bin/bash 

root@c94a4eacb7cc:/# ping Logspout 


PING logspout (172.17.0.10) 56(84) bytes of data. 
64 bytes from Logspout (172.17.0.10): icmp_seq=1 ttL=64 time=0.075 ms 























root@c94a4eacb7cc:/# curl http://Logspout:8000/Logs 
logspout|[martini] Started GET /Logs for 172.17.0.12:38353 
nginx|192.168.34.1 [10/Mar/2015:13:57:38 +0000] "GET / HTTP/1.1" 200 ... 
nginx|192.168.34.1 [10/Mar/2015:13:57:43 +0000] "GET / HTTP/1.1" 200 ... 


9.7.3 ”讨论 
为 了 管理 日 志 流 ，API 公开 了 一 个 /routes 路 由 。HTTP 动作 GET、DELETE 和 POST 分 别 用 来 
获取 、 删 除 和 更 新 日 志 流 路 由 ， 如 下 所 示 。 


root@1fbb2f9636a8:/# curl http://logspout:8000/routes 
[ 
{ 
"id": "e508deQc9689", 
"target": { 
"type": "syslog", 
"addr": "192.168.34.11:5000" 
} 
} 





root@1fbb2f9636a8:/# curl http://Logspout:8000/routes/e508de0c9689 
{ 
"id": "e508deQc9689", 
"target": { 
"type": "syslog", 
"addr": "192.168.34.11:5000" 
} 


root@1fbb2f9636a8:/# curl -X DELETE http://Logspout:8000/routes/e508degc9689 
root@1fbb2f9636a8:/# curl http://logspout:8000/routes 
[] 
root@1fbb2f9636a8:/# curl -X POST \ 
-d ‘{"target": {"type": "syslog", \ 
"addr": "192.168.34.11:5000"}}' \ 
http://Logspout:8000/routes 





"id": "f60d30502654" ， 
"target": { 

"type": "syslog", 

"addr": "192.168.34.11:5000" 
} 


} 
root@1fbb2f9636a8:/# curl http://Logspout:8000/routes 


[ 


"id": "f60d30502654" ， 
"target": { 
"type": "syslog", 
"addr": "192.168.34.11:5000" 
小 
} 
] 


你 可 以 创建 一 个 指向 Papertrail (https://papertrailapp.com) 的 路 由 ， 自 动 将 日 
志 备 份 到 Amazon S3。 


9.8 ”使 用 Elasticsearch 和 Kibana 对 容器 日 志 进 行 
存储 和 可 视 化 


9.8.1 问题 


范例 9.6 使 用 Logstash (http://logstash.net) 来 接收 日 志 并 将 日 志 发 送 到 标准 输出 。 但 是 
Logstash 有 很 多 插件 (http://logstash.net/docs/1.4.2/index) 可 以 让 你 进行 更 多 的 处 理 。 你 可 
能 想 更 进一步 ， 使 用 Elasticsearch (http:Wwww.elasticsearch.com) 来 存储 容器 的 日 志 。 


9.8.2 解决 方案 


启动 一 个 Elasticsearch 和 Kibana 容 器 。Kibana (http://www.elasticsearch.org/overview/ 
kibana/) 是 一 个 仪表 盘 系 统 ， 人 允许 你 查询 Elasticsearch 中 的 索引 并 方便 进行 可 视 化 。 使 用 
ehazlett/logstash 镜像 以 及 它 的 默认 配置 启动 一 个 Logstash 容器 ， 如 下 所 示 。 


$ docker run --name es -d -p 9200:9200 -p 9300:9300 ehazlett/elasticsearch 
$ docker run --name kibana -d -p 80:80 ehazlett/kibana 
$ docker run -d --name Logstash -p 5000:5000/udp \ 

--Link es:elasticsearch ehazlett/logstash \ 

-f /etc/logstash.conf.sample 








注意 ，Logstash 容器 链接 到 了 Elasticsearch 容器 。 如 果 你 不 进行 容器 链接 ， 


Logstash 将 找 不 到 Elasticsearch 服务 。 





在 容器 启动 之 后 ， 你 可 以 打开 浏览 器 访问 Kibana 容器 所 在 Docker 主机 的 80 端口 。 你 将 会 
看 到 Kibana 默认 的 仪表 盘 ， 选择 提供 的 示例 仪表 盘 可 以 查看 你 的 索引 的 信息 ， 并 创建 一 个 
基本 的 仪表 盘 。 你 可 以 看 到 访问 Nginx 服务 器 所 产生 的 日 志 ， 如 图 9-1 所 示 。 
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9-1: Kibana 仪表 盘 快照 


9.8.3 讨论 


在 这 个 解决 方案 中 ，Elasticsearch 在 独立 的 容器 中 运行 。 如 果 你 停止 并 删除 了 Elasticsearch 
容器 ， 那 么 为 存储 Logspout 采集 的 日 志 流 而 创建 的 索引 信息 将 会 丢失 。 可 以 学 虑 挂 载 一 个 
Pn Elasticsearch 的 数据 进行 持久 化 。 男 外 ， 如 果 想 要 更 大 的 存储 和 高 效 
的 索引 ， 你 可 以 考 率 创建 一 个 跨越 多 台 Docker 主机 的 Elasticsearch 集群 。 


9.9 使 用 Collectd 对 容器 指标 进行 可 视 化 


9.9.1 问题 


除了 对 应 用 程序 的 日 志 进 行 可 视 化 (参见 范例 9.8) 之 外 ， 你 可 能 还 会 喜欢 监控 容器 的 各 
种 指标 ， 比 如 CPU。 


9.9.2 解决 方案 


使 用 Collectd (https://collectd.org)。 在 所 有 你 希望 对 容器 进行 监控 的 主机 上 运行 该 容器 
将 /var/run/docker.sock 文件 挂 载 到 名 为 collectd 的 容器 中 ， * 可 以 使 用 Collectd 插件 通过 
Docker 统计 API (参见 范例 9.2) 采集 指标 数据 ， 并 将 指标 数据 发 送 到 在 其 他 主机 上 运行 
的 Graphite 仪表 盘 中 。 











人 





这 是 一 个 高 级 范例 ， 使 用 了 前 面 介 绍 过 的 一 些 概念 。 请 确认 在 阅读 本 范例 之 
前 你 已 经 阅读 过 范例 7.1 和 范例 9.8。 


为 了 进行 测试 ， 你 需要 使 用 下 面 由 两 台 Docker 主机 构成 的 配置 。 一 台 主 机 上 运行 四 个 
器 : 一 个 Nginx 容器 用 来 向 标准 输出 输出 测试 用 日 志 ， 一 个 Logspout 容器 器 用 于 将 所 有 标准 
输出 日 志 发 送 到 Logstash 实例 ， 一 个 容器 用 于 产生 模拟 负载 (比如 borja/unixbench)， 以 及 


mr 
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一 个 Collectd 容器 。 


另 一 台 Docker 主机 上 也 运行 着 四 个 容器 : 一 个 Logstash 容器 用 于 接收 来 自 Logspout 的 日 
志 ， 一 个 Elasticsearch 容器 用 于 存储 日 志 ， 一 个 Kibana 容器 用 于 对 日 志 进 行 可 视 化 ， 以 及 
一 个 Graphite 容器 。Graphite 容器 里 也 运行 着 carbon 来 存储 指标 数据 。 


图 9-2 显示 了 这 种 双 主 机 八 容器 设置 。 
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9-2: 双 主 机 、Collectd、Logstash、Kibana 和 Graphite 设置 


在 第 一 台 主 机 (工作 者 ) 上 ， 你 可 以 通过 Docker Compose (参见 范例 7.1) 使 用 如 下 所 示 
的 YAML 文件 来 启动 所 有 容器 ， 如 下 所 示 。 


nginx: 
image: nginx 
ports: 
- 80:80 
logspout: 
image: gliderlabs/logspout 
volumes: 
- /var/run/docker.sock:/tmp/docker.sock 
command: syslog://192.168.33.11:5000 
collectd: 
build: . 
volumes: 
- /var/run/docker.sock:/var/run/docker.sock 
Load : 
image: borja/unixbench 


Logspout 容器 使 用 command 参数 指定 你 的 Logstash 端点 。 如 果 你 在 不 同 的 网 络 环境 中 


运行 ， 则 需要 修改 上 面 的 Logstash IP 地 址 。Collectd 容器 由 Docker Compose 构建 ， 其 
Dockerfile 如 下 所 示 。 




















FROM debian:jessie 


RUN apt-get update && apt-get -y install \ 
COLLectd \ 
python \ 
python-pip 

RUN apt-get clean 

RUN pip install docker-py 


RUN groupadd -r docker && useradd -r -g docker docker 


ADD docker-stats.py /opt/collectd/bin/docker-stats.py 
ADD docker-report.py /opt/collectd/bin/docker-report.py 
ADD coLLectd.conf /etc/collectd/collectd.conf 


RUN chown -R docker /opt/coLLectd/bin 
CMD ["/usr/sbin/collectd","-f"] 
在 本 范例 的 讨论 部 分 ， 你 还 会 再 次 重 温 这 个 Dockerfile 中 用 到 的 脚本 。 


在 第 二 台 主 机 (监控 者 ) 上 ， 可 以 通过 Docker Compose (参见 范例 7.1) 使 用 如 下 所 示 的 
YAML 文件 来 启动 所 有 容器 。 


es: 
image: ehazlett/elasticsearch 
ports: 
- 9300:9300 
- 9200:9200 
kibana: 
image: ehazlett/kibana 
ports: 
- 8080:80 
graphite: 
image: hopsoft/graphite-statsd 
ports: 
- 80:80 
- 2003:2003 
- 8125:8125/udp 
logstash: 
image: ehazlett/logstash 
ports: 
- 5000:5000 
- 5000:5000/udp 
volumes: 
- /root/docbook/ch09/coLLectd/Logstash.conf:/etc/Logstash.conf 
Links : 
- es:elasticsearch 
Command: -f /etc/Logstash.conf 


在 这 个 例子 中 ， 我 们 使 用 了 几 个 非 官方 的 镜像 : gliderlabs/logspout、borja/ 
unixbench、 ehazlett/elasticsearch、ehazlett/kibana、ehazlett/logstash 和 hopsoft/ 
graphite-statsd。 你 可 以 在 Docker Hub 上 查看 这 些 镜像 的 Dockerfile， 如 果 不 
信任 这 些 镜 像 ， 也 可 以 自己 构建 。 











考 

















当 两 台 主 机 上 的 容器 都 启动 之 后 ， 并 假设 你 正确 设置 了 网 络 和 防火 墙 (如 果 你 正在 使 用 云 





主机 实例 ， 还 需要 打开 指定 安全 组 的 端口 )， 就 能 够 访问 到 工作 者 主机 80 端口 上 的 Nginx 


容器 ， 监 控 主 机 8080 端口 上 的 Kibana 仪表 板 以 及 80 端口 上 的 Graphite 仪表 盘 。 





Graphite 仪表 盘 将 会 显示 来 自 所 有 在 工作 者 主机 上 运行 的 容器 的 基本 CPU 指标 。 你 将 会 看 





到 与 图 9-3 类 似 的 内 容 。 














Elitelilis 





Tree | Search || Auto-Completer Graphite Composer 
日 与 Graphite a 2 | From Apri7, 2015 4:30 AM GMT+02 UntilApri7, 2015 5:30 AM GMT+02:00 
由 加 carbon PT 
日 己 collectd 


日 乌 docker-cpu 








国 gauge-cpu0 2000.06 
日 乌 colectd load 1 
日 全 docker-cpu 15000G 
国 gauge-cpu0 
日 人 collectd_logspout_1 "| 200006 
日 局 docker-cpu 
国 gauge-cpu0 500.0G 
日 局 colectd_nginx_1 
日 全 docker-cpu 0 -一 -一 T 
国 9auge-cpu0 05:40 05:50 06:00 06:10 06:20 
由 加 stats 国 coledd colectd load_1 dodear-cpugaugas-cpuo 国 coledd colectd_colectdLl docker-cpu. gauge-cpuO 
由 癌 stats_counts 园 -ollectd collectd logspout_1.docker-cpu.gauge-cpu0 ” 国 collectd collectd_nginx_1.docker-cpu.gauge-cpu0 
田口 statsd 
国 吕 User Graphs Graph Options™ | | -Graph Data | |Auto-Refresh 








国门 ad0de458b131 
2500.0G 
日 collectd_collectd_1 A 











9-3: Graphite 仪表 盘 显 示 了 来 自 所 有 容器 的 CPU 指标 


9.9.3 讨论 


你 可 以 通过 使 用 本 书 随 附 的 在 线材 料 ， 获 取 范 例 中 使 用 的 全 部 脚本 。 如 果 之 前 还 没有 克隆 








过 这 个 仓库 ， 你 需要 先 克 隆 它 ， 然 后 切换 到 docbook/ch09/collectd 目录 下 ， 如 下 所 示 。 


$ git clone https://github.com/how2dock/docbook.git 
$ cd docbook/ch09/coLLectd 
$ tree 


| 一 Dockerfile 

| 一 README.md 

| 一 Vagrantfile 

| 一 coLLectd.conf 
| 一 docker-report.py 
FF docker-stats.py 
| 一 Logstash.conf 
一 monitor .ymL 

[一 worker .ymL 














这 个 Vagrantfile 会 在 你 的 本 地 主机 上 启动 两 台 Docker 主机 ， 以 进行 上 面 的 实验 。 但 是 你 
也 可 以 将 这 个 仓库 克隆 到 两 台 安 装 了 Docker 和 Docker Compose 的 云 主机 实例 中 ， 并 启动 














所 有 容器 。 如 果 你 正在 使 用 Vagrant， 请 根据 下 面 内 容 进 行 操作 。 














$ vagrant Up 
$ vagrant ssh monitor 
$ vagrant ssh worker 





在 本 范例 中 使 用 Vagrant 进行 实验 时 ， 我 遇 到 了 几 次 随机 错误 ， 以 及 镜像 下 
载 缓慢 的 问题 。 如 果 使 用 具有 更 好 网 络 连通 性 的 云 主机 实例 ， 可 能 体验 效果 
会 更 好 。 











这 两 个 YAML 用 于 在 两 台 主 机 上 方便 地 启动 所 有 容器 。 请 不 要 在 同一 台 主 机 上 运行 这 两 
条 命令 ， 如 下 所 示 。 


$ docker-compose -f monitor.yml up -d 
$ docker-compose -f worker.yml up -d 


logstash.conf 文件 已 经 在 范例 9.6 中 讨论 过 了 。 如 果 你 还 不 理解 这 个 配置 文件 ， 请 返回 该 范 
例 再 次 阅读 一 下 。 

Dockerfile 文件 用 于 构建 Collectd 镜像 ， 如 前 面 解决 方案 部 分 所 述 。 该 镜像 基于 Debian 
Jessie 镜像 ， 并 安装 了 docker-py (参见 范例 4.10) 以 及 一 些 其 他 脚本 。 


Collectd 使 用 插件 (https://collectd.org/wiki/index.php/Table_of_Plugins) 来 收集 指标 数据 并 
将 它们 发 送 到 数据 存储 (比如 Graphite 的 Carbon) 。 在 这 个 例子 中 ， 我 们 使 用 了 最 简单 的 
Collectd 插件 ， 该 插件 名 为 exec。 该 插件 在 collectd.conf 文件 中 进行 定义 ， 如 下 所 示 。 
<Plugin exec> 
Exec "docker" "/opt/collectd/bin/docker-stats.py" 


NotificationExec "docker" "/opt/collectd/bin/docker-report.py" 
</Plugin> 


Collectd 容器 中 的 Collectd 进程 以 前 台 方 式 运 行 ， 定 期 执行 配置 文件 中 设置 的 两 个 Python 
脚本 。 这 也 是 你 在 Dockerfile 中 复制 这 两 个 文件 的 原因 。docker-report.py 脚本 会 将 值 输 
出 到 syslog。 这 样 做 带 来 的 好 处 是 ， 你 还 可 以 通过 Logspout 容器 来 收集 这 些 数据 并 在 
Kibana 仪表 盘 中 进行 展示 。docker-stats.py 脚本 使 用 了 Docker stats API (参见 范例 9.2) 和 
docker-py Python 包 。 这 个 脚本 会 列 出 所 有 正在 运行 的 容器 ， 并 获取 这 些 容 器 的 统计 信息 。 
以 名 为 cpu_stats 的 统计 信息 为 例 ， 这 个 脚本 会 向 标准 输出 写 入 一 个 PUTVAL 字符 串 。 
Collectd 会 解析 这 个 字符 串 并 发 送 到 Graphite 数据 存储 (又 名 Carbon) 进行 存储 和 可 视 化 。 
这 个 PUTVAL 字符 串 遵 循 Collectd exec 插件 的 语法 ， 如 下 所 示 。 


#!/usr/bin/env python 














下 





























import random 
import json 
import docker 
import sys 


cli=docker.Client(base_uyrl='unix://var/run/docker .sock') 


types = ["gauge-cpu0"] 





for h in cli.containers(): 
if not h["Status"].startswith("Up"): 
continue 
stats = json.loads(cli.stats(h["Id"]).next()) 
for k, v in stats.items(): 
if k == "cpyu_stats": 
print("PUTVAL %s/%s/%s N:%s" % (h['Names'][0].Llstrip('/'), \ 
'docker-cpu', types[0], \ 
v['cpu_usage']['total_usage' ])) 


本 范例 中 的 示例 插件 是 一 个 非常 简单 的 插件 ， 实 际 上 对 容器 的 统计 数据 
也 需要 进一步 进行 加 工 处 理 。 你 可 能 会 考虑 使 用 这 个 (https://github.com/ 
cloudwatt/docker-collectd-plugin) 基于 Python 的 插件 奉 代 。 





9.9.4 参考 


。 Collectd 官方 网 站 (https://collectd.org) 

。 Collectd Exec 插件 (http://collectd.org/documentation/manpages/collectd-exec.5.shtml) 
。 Graphite 官方 网 站 (http://graphite.wikidot.com) 

。 Logstash 官方 网 站 (http://logstash.net) 

。 Collectd Docker 插件 (https://github.com/cloudwatt/docker-collectd-plugin) 


9.10 ”使 用 cAdvisor 监 探 容器 资源 使 用 状况 


9.10.1 问题 


尽管 使 用 Logspout (参见 范例 9.6) 可 以 将 应 用 程序 的 日 志 发 送 到 远程 端点 ， 但 是 你 需要 
一 个 资源 利用 率 监控 系统 。 


9.10.2 ”解决 方案 


使 用 cAdvisor (https://github.com/google/cadvisor)， 这 是 一 个 Google 创建 的 用 来 监控 他 
们 的 lcemtfy (https://github.com/google/lmctfy) 容器 资源 使 用 情况 和 性 能 的 软件 。cAdvisor 
在 你 的 Docker 主机 上 以 容器 方式 运行 。 通 过 挂 载 本 地 卷 ， 它 可 以 监控 在 同一 台 主 机 上 运 
行 的 所 有 容器 。 它 还 提供 了 一 个 本 地 Web 界面 和 API (https://github.com/google/cadvisor/ 
blob/master/docs/api.md)， 并 且 能 将 数据 存储 到 InftuxDB (http://influxdb.com)。 将 运行 中 
容器 的 数据 存储 到 远程 InfluxDB 集群 ， 这 样 你 就 可 以 对 所 有 在 一 个 集群 中 运行 的 容器 的 性 
能 指标 进行 聚合 。 


开始 我 们 先 使 用 一 台 主 机 。 下 载 cAdvisor 镜像 和 borja/unixbench 镜像 ，borja/unixbench 镜 
像 可 以 让 你 在 一 个 容器 中 模拟 产生 工作 负载 。 


$ docker pull google/cadvisor:latest 
$ docker pull borja/unixbench 
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$ docker run 


$ docker run 


当 两 个 


JP DR 


谷 储 


启动 后 ， 你 


-Vv /var/run:/var/run:rw\ 

-Vv /sys:/sys:ro \ 

-Vv /var/lib/docker/:/var/lib/docker:ro \ 
-p 8080:8080 \ 

-d \ 

--name cadvisor \ 

google/cadvisor:latest 

-d borja/unixbench 


可 以 打开 浏览 器 访问 http://<IP_DOCKER_HOST>:8080 使 用 








cAdvisor UI (参见 图 9-4)。 你 将 会 看 到 正在 运行 的 容器 以 及 每 个 容器 的 指标 数据 。 














Usage 


Total Usage 


0.0 
3:57: 


0.0 
3:57: 












:40 PM 


Usage per Core 





本 下 


3:57:50 PM 3:58:00 PM 3:58:10 PM 3:58:20 PM 3:58:30 PM 
国 Total 


全 三 三 


:40 PM 3:57:50 PM 3:58:00 PM 3:58:10 PM 3:58:20 PM 3:58:30 PM 
国 Core0 











图 9-4: cAdvisor UI 


9.10.3 参考 


。 cAdvisor API 文档 (https://github.com/google/cadvisor/blob/master/docs/api.md) 
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9.11 通过 InfluxDB、Grafana 和 cAdvisor 监 控 
容器 指标 


9.11.1 问题 
你 想 在 日 志 采 集 和 性 能 监控 技术 栈 中 使 用 Elastic/Logstash/Kibana 之 外 的 替代 方案 。 


9.11.2 ”解决 方案 


考虑 使 用 cAdvisor (参见 范例 9.10) 与 InfluxDB (https://influxdb.com) 的 组 合 存储 时 间 序 
列 数据 ， 使 用 Grafana (http://grafana.org) 对 数据 进行 可 视 化 。cAdvisor 从 所 有 在 Docker 
主机 上 运行 的 容器 采集 数据 指标 ， 它 的 InfluxDB 存储 驱动 程序 允许 你 将 所 有 指标 数据 作为 
时 间 序 列 存储 到 InfluxDB (一 个 用 于 存储 时 间 序 列 数 据 的 分 布 式 数据 库 )。Grafana 相当 于 
Kibana， 对 来 自 InfluxDB 的 数据 进行 可 视 化 。 

下 面 是 单 节点 的 基本 配置 。 你 将 运行 cAdvisor， 并 将 它 配置 为 将 数据 发 送 到 一 台 InfluxDB 
主机 ， 同 时 你 也 会 运行 InfluxDB 和 Grafana。 所 有 这 些 服 务 都 在 容器 中 运行 ， 如 下 所 示 。 

















$ docker run -d -p 8083:8083 -p 8086:8086 \ 
-e PRE_CREATE DB="db" \ 
--name influxdb \ 
tutum/influxdb:0.8.8 

$ docker run -d -p 80:80 \ 
--link=influxdb:influxdb \ 
-e HTTP_USER=admin \ 
-e HTTP_PASS=root \ 
-e INFLUXDB_HOST=influxdb \ 
-e INFLUXDB_NAME=db \ 
--name=grafana \ 
tutum/grafana 

$ docker run -v /var/run:/var/run:rw \ 
-Vv /sys:/sys:ro \ 
-Vv /var/\lib/docker/:/var/lib/docker:ro \ 
-p 8080:8080 \ 
--link=influxdb:influxdb \ 
-d --name=cadvisor \ 
google/cadvisor:latest \ 
-storage_driver=influxdb \ 
-storage_driver_host=influxdb:8086 \ 
-storage_driver_db=db 


在 一 个 多 主机 配置 中 ， 你 需要 在 所 有 节点 上 运行 cAdvisor 容器 。InfluxDB 则 以 分 布 式 方式 
了 署 在 多 台 主 机 上 ，Grafana 则 可 能 会 在 用 于 负载 平衡 的 Nginx 代理 之 后 运行 。 

考虑 到 这 些 软件 的 开发 节奏 比较 快 ， 镜像 也 一 直 会 变化 ， 为 了 让 整个 系统 可 以 正常 工作 ， 
尔 可 能 需要 对 上 面 的 docker run 命令 进行 调整 。 





I 
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9.12 使 用 Weave Scope 对 容器 布局 进行 可 视 化 


9.12.1 问题 


基于 微服 务 架 构 (http://martinfowler.com/articles/microservices.html) 构建 的 分 布 式 应 用 程 
序 会 导致 有 数 百 (其 至 更 多 ) 的 容器 在 你 的 数据 中 心 运行 。 对 应 用 程序 及 组 成 该 应 用 程序 
的 所 有 容器 进行 可 视 化 就 显得 很 关键 ， 也 是 整体 基础 设施 的 重要 部 分 。 


9.12.2 ”解决 方案 


来 自 Weaveworks (http://weave.works) 的 Weave Scope 提供 了 一 个 简单 而 强大 的 方式 来 对 
基础 设施 进行 检测 ， 并 动态 生成 所 有 容器 的 架构 图 。 它 为 你 提供 了 多 个 维度 : 你 可 以 按 容 
器 、 镜 像 、 主 机 或 者 应 用 程序 对 容器 进行 分 组 ， 并 查看 其 特征 详细 信息 。 

Weave Scope 是 开源 的 ， 你 可 以 在 GitHub (https://github.com/weaveworks/scope) 上 查看 它 
的 源 代码 。 


为 了 方便 测试 ， 像 本 书 的 其 他 范例 一 样 ， 我 也 准备 了 一 个 Vagrant 虚拟 机 。 你 可 以 使 用 Git 
克隆 这 个 仓库 ， 然 后 启动 这 个 Vagrant 虚拟 机 ， 如 下 所 示 。 
$ git clone https://github.com/how2dock/docbook.git 


$ cd how2dock/ch09/weavescope 
$ vagrant up 


这 个 Vagrant 虚拟 机 会 安装 最 新 版 本 的 Docker (本 书写 作 时 的 最 新 版 本 为 1.6.2) 和 
Docker Compose (参见 范例 7.1 )。 在 虚拟 机 的 /vagrant 文件 来 下 ， 你 将 会 看 到 一 个 docker- 
compose.yml 文件 ， 这 个 文件 定义 了 一 个 三 层 架 构 的 应 用 程序 ， 它 包含 两 个 负载 平衡 容器 ， 
两 个 应 用 程序 容器 和 三 个 数据 库容 器 。 这 是 一 个 演示 用 的 应 用 程序 ， 用 来 对 Weave Scope 
进行 讲解 。 在 虚拟 机 启动 完成 之 后 ， 通 过 ssh 登录 到 虚拟 机 ， 移 动 到 /vagrant 文件 夹 下 ， 
通过 Docker Compose 启动 应 用 程序 ， 并 运行 Weave Scope 脚本 ( 即 scope) ， 如 下 所 示 。 






























































$ vagrant ssh 

$ cd /vagrant 

$ docker-compose up -d 
$ ./scope Launch 











最 后 你 将 会 有 八 个 容器 在 运行 : 七 个 是 演示 用 应 用 程序 的 容器 ， 另 一 个 是 Weave 
Scope。 你 可 以 通过 http://192.168.33.10:8001 或 http:/192.168.33.10:8002 来 访问 测试 
用 的 应 用 程序 。 当 然 ， 最 有 趣 的 部 分 还 是 Weave Scope 的 仪表 盘 。 打 开 浏 览 器 访问 
http://192.168.33.10:4040， 你 就 会 看 到 如 图 9-5 所 示 的 页 面 。 
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9-5: Weave Scope 仪表 盘 





通过 页 面 导航 ， 你 可 以 浏览 一 下 它 不 同 的 分 组 功能 ， 查 看 一 下 各 容器 的 详细 信息 。 











9.12.3 讨论 


Weave Scope 还 处 于 早期 开发 阶段 ， 你 可 以 期 待 将 来 会 有 更 多 功能 添加 到 这 个 开源 项 目 
花 些 时 间 关 注 一 下 这 个 Docker 容器 可 视 化 解决 方案 是 绝对 值得 的 。 


从 Weave Scope 源 代码 进行 构建 也 很 简单 ， 它 提供 了 一 个 Makefile 来 构建 Docker 镜像 。 


9.12.4 参考 


。 使 用 Weave Scope 对 Docker 容器 进行 检测 、 映 射 和 监视 (http://thenewstack.io/how-to- 
Pp P: 
en te A tr hits ) 
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应 用 用 例 





10.0 简介 

在 本 书 的 结尾 ， 我 想 再 次 强调 ， 使 用 Docker 可 以 轻松 地 构建 分 布 式 应 用 程序 。 现 在 你 
的 武器 库 里 已 经 拥有 了 所 有 工具 ， 使 用 这 些 工 具 ， 可 以 在 你 的 数据 中 心 内 部 或 者 外 部 构 
建 可 扩展 的 微服 务 应 用 。 至 少 部 署 现 有 的 分 布 式 系统 /框架 变 得 更 容易 了 ， 因 为 你 只 需 
要 启动 几 个 容器 即 可 。Docker Hub (https://hub.docker.com) 上 汇集 了 诸如 MongoDB、 
ElasticSearch、Cassandra 以 及 其 他 很 多 镜像 。 假 如 你 对 镜像 的 内 容 感 兴趣 ， 下 载 这 个 镜像 
后 启动 一 个 或 多 个 容器 就 可 以 了 。 

作为 全 书 的 最 后 一 章 ， 本 章 将 会 介绍 几 个 被 视 为 难题 的 用 例 ， 这 些 用 例 可 以 帮助 你 以 自己 
的 方式 构建 应 用 程序 。 首 先 ， 在 范例 10.1 中 ，Pini Reznik 将 会 为 你 介绍 如 何 使 用 Docker 
和 Jenkins 构建 一 个 持续 集成 工作 流 。 接 着 ， 他 将 会 演示 如 何 对 这 一 工作 流 进行 扩展 ， 而 
在 范例 10.2 中 ， 他 使 用 Mesos 构建 了 一 个 持续 部 署 工作 流 。 

在 范例 10.3 中 ， 我 们 会 介绍 一 个 高 级 范例 ， 向 你 演示 如 何 构建 一 个 动态 负载 平衡 设置 。 这 
个 设置 利用 了 registrator 和 相应 的 基于 consul 和 confd 的 键 值 存储 。confd 是 一 个 用 于 
管理 配置 模板 的 系统 。 它 监视 键 值 存储 中 的 键 ， 并 在 键 发 生变 化 的 时 候 自 动 基于 模板 重新 
生成 配置 文件 。 使 用 这 种 方案 ， 举 例 来 说 ， 你 可 以 在 添加 新 的 后 端 时 自动 重新 配置 负载 平 
衡器 服务 。 这 也 是 构建 一 个 弹性 负载 平衡 器 的 关键 所 在 。 

在 范例 10.4 中 ， 我 们 将 会 构建 一 个 兼容 S3 的 对 象 存储 系统 ， 该 系统 由 在 Kubernetes 之 上 
运行 的 Cassandra 和 pithos (http://pithos.io) 构成 。 这 个 pithos 软件 提供 了 一 套 兼容 S3 的 
API， 并 在 Cassandra 中 管理 存储 桶 。 这 个 系统 通过 Kubernetes 的 replication controller 实现 
了 自动 扩展 。 
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在 范例 10.5 和 范例 10.6 中 ， 我 们 将 使 用 Docker Network 构建 一 个 MySQL Galera 集群 。 
Docker Network 在 本 书 编写 之 际 还 处 于 实验 阶段 ， 但 是 本 范例 会 帮助 你 深入 理解 Docker 
Network 所 带 来 的 可 能 性 。 通 过 自动 容器 链接 ，MySQL Galera 集群 中 的 节点 可 以 在 一 个 多 
主机 网 络 中 发 现 它 们 自己 ， 并 构建 一 个 集群 ， 就 好 像 容 器 都 是 在 同一 台 主 机 上 运行 一 样 。 
这 非常 强大 ， 而 且 能 简化 分 布 式 应 用 程序 的 设计 。 

作为 本 章 的 结尾 ， 我 们 会 以 部 署 一 个 称 为 Spark (http://spark.apache.org) 的 大 规模 数据 处 
理 系 统 为 例 。 你 可 以 在 Kubernetes 集群 上 运行 Spark， 在 基于 Docker Network 的 基础 设施 
中 运行 Spark 也 非常 简单 。 最 后 的 这 个 范例 将 会 对 如 何 通过 Docker Network 运行 Spark 进 





























享受 这 最 后 一 章 ， 和 希望 它 能 激发 你 的 兴趣 。 


10.1 CI/CD: 构建 开发 环境 


一 一 本 范例 由 Pini Reznik 提供 





10.1.1 问题 


你 的 Nodejs 应 用 开发 环境 需要 具有 一 致 性 和 可 重复 性 。 你 不 希望 每 次 对 Node.js 源 代码 进 
行 修改 时 都 去 重新 构建 Docker 镜像 。 


10.1.2 ”解决 方案 

创建 一 个 包括 所 有 依赖 的 Docker 镜像 。 在 开发 阶段 挂 载 额外 的 卷 ， 使 用 Dockerfile 中 的 
ADD 指令 向 其 他 开发 人 员 分 发 应 用 程序 的 镜像 。 

首先 你 需要 一 个 Node.js 的 Hello World 应 用 ， 这 个 应 用 由 两 个 文件 构成 ， 如 下 所 示 。 
app.js: 


// 加 载 http 模 块 来 创建 http 服 务 器 
var http = require('http'); 











// 配置 我 们 的 HTTP 服 务 器 ,让 它 对 所 有 请 求 返回 Hello World 

var server = http.createServer(function (request, response) { 
response.writeHead(200, {"Content-Type": "text/plain"}); 
response.end("Hello World"); 


)3 





// 监听 在 89090 端 口 ,IP 地 址 使 用 默认 的 "0.0.0.0" 
server.listen(8000); 








// 在 终端 上 显示 提示 信息 
console.log("Server running at http://127.0.0.1:8000/"); 





package.json: 


{ 
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"name": "hello-world", 
"description": "hello world", 
"version": "0.0.1", 
"private": true, 
"dependencies": { 
"express": "3.x" 
}, 
"scripts": {"start": "node app.js"} 


} 
你 可 以 使 用 下 面 的 Dockerfile 文件 来 构建 镜像 。 


FROM google/nodejs 





WORKDIR /app 

ADD package.json /app/ 
RUN npm install 

ADD . /app 


EXPOSE 8000 
CMD [] 
ENTRYPOINT ["/nodejs/bin/npm", "start"] 


这 个 Dockerfile 安装 了 所 有 应 用 程序 的 依赖 库 ， 并 将 应 用 程序 复制 到 了 镜像 中 ， 你 可 以 通 
过 ENTRYPOINT 指令 启动 该 应 用 程序 。 








Dockerfile 中 指令 的 顺序 很 重要 。 之 所 以 在 其 他 操作 之 前 添加 package.json 文 
件 和 安装 依赖 包 ， 原 因 在 于 当 你 修改 了 应 用 程序 代码 ， 但 是 依赖 包 没有 发 生 
变化 时 ， 这 样 做 会 缩短 镜像 构建 的 时 间 。 这 是 因为 ， 在 ADD 指令 所 复制 的 
文件 中 ， 任 何 文件 的 变化 都 会 导致 Docker 构建 缓存 失效 ， 后 面 的 所 有 指令 
都 要 重复 执行 一 遍 。 


























准备 好 你 的 三 个 文件 之 后 ， 你 就 可 以 构建 镜像 并 启动 容器 了 ， 如 下 所 示 。 


$ docker build -t my_nodejs_image . 
$ docker run -p 8000:8000 my_nodejs_image 








这 将 会 启动 一 个 容器 ， 容 器 中 运行 的 是 通过 ADD 指令 添加 到 镜像 中 的 应 用 程序 。 为 了 能 
够 测试 应 用 程序 的 变动 ， 可 以 将 本 地 源 代 码 通过 卷 的 方式 挂 载 到 容器 中 ， 命 令 如 下 所 示 。 


$ docker run -p 8000:8000 -v "SPND":/app my_nodejs_image 


该 命令 会 将 最 新 代码 所 在 的 当前 文件 夹 挂 载 到 容器 中 的 应 用 程序 文件 夹 下 。 通 过 这 种 方 
式 ， 你 无 需 重 新 构建 镜像 就 可 以 对 最 新 的 源 代码 进行 调试 。 


为 了 与 其 他 开发 人 员 共 享 镜像 以 及 将 镜像 推送 到 其 他 测试 环境 ， 你 可 以 使 用 Docker 
registry。 下 面 的 命令 用 来 构建 镜像 并 将 镜像 推送 到 指定 的 Docker registry。 


$ docker build -t <docker registry URL>:<docker registry port> \ 
/containersol/nodejs_app:<image tag> 

$ docker push <docker registry URL>:<docker registry port>\ 
/containersol/nodejs_app:<image tag> 
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为 了 简化 开发 环境 的 工作 ， 方便 在 将 来 集中 为 一 个 测试 环境 ， 可 以 使 用 以 下 三 个 脚本 : 
build.sh、test.sh 和 push.sh。 这 些 脚本 将 会 变 成 单一 的 命令 接口 ， 你 可 以 在 开发 过 程 中 使 用 
这 些 脚 本 完成 所 需 的 常见 操作 。 


build.sh: 








#1!/bin/bash 


# 传递 给 此 脚本 的 第 一 个 参数 将 用 作 和 镜像 版 本 
# 如 果 未 传递 任何 参数 , 则 会 将 Latest 用 作 标 签 
if [ -z "${1}" ]; then 

version="latest" 
else 

version="${1}" 
fi 








cd nodejs_app 
docker build -t localhost:5000/containersol/nodejs_app:${version} . 
cd .. 


test.sh: 


#1!/bin/bash 


# 传递 给 此 脚本 的 第 一 个 参数 将 用 作 镜 像 版 本 
# 如 果 未 传递 任何 参数 , 则 会 将 Latest 用 作 标 签 
if [ -z "${1}" ]; then 
version="latest" 
else 
version="${1}" 
fi 
docker run -d --name node_app_test -p 8000:8000 -v "S$PWD":/app localhost:5000/ \ 
containersol/nodejs_app:${version} 








echo "Testing image: localhost:5000/containersol/nodejs_app:${version}" 


# 允许 Web 服 务 器 启动 
sleep 1 


# 如 果 下 面 URL 的 网 页 包含 单词 "success"， 

# 则 表示 测试 成 功 

curl -s GET http://LocaLhost:8000 | grep success 
status=$? 





# 清理 测试 用 的 容器 
docker kill node app_test 
docker rm node_app_test 





if [ $status -eq 0 ] ; then 
echo "Test succeeded" 
else 
echo "Test failed" 
fi 


exit $status 
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push.sh: 
#!/bin/bash 


# 传递 给 此 脚本 的 第 一 个 参数 将 用 作 镜 像 版 本 
# 如 果 未 传递 任何 参数 , 则 会 将 Latest 用 作 标 签 
if [ -z "${1}" ]; then 

version="latest" 
else 

version="${1}" 
fi 

















docker push localhost:5000/containersol/nodejs_app:"${version}" 


现在 你 就 可 以 使 用 下 面 的 命令 来 构建 、 测 试 和 向 Docker registry 推送 构建 完成 的 镜像 ， 如 




















下 所 示 。 
$ ./build.sh <version> 


$ ./test.sh <version> 
$ ./push.sh <version> 


10.1.3 ”讨论 





保持 一 套 在 包括 开发 计算 机 在 内 的 不 同 环 境 下 都 可 以 运行 的 、 一 致 的 用 于 构建 、 测 试 和 部 
署 的 命令 ,通常 来 说 都 是 一 个 很 好 的 做 法 。 这 样 ， 开 发 人 员 就 可 以 像 在 持续 集成 环境 下 一 























样 对 应 用 程序 进行 测试 ， 从 而 在 早期 发 现 与 环境 相关 的 问题 。 


这 个 例子 使 用 了 简单 的 脚本 文件 ， 但 是 更 通用 的 做 法 是 使 用 诸如 Maven 或 者 Gradle 这 样 
的 构建 系统 来 完成 同样 的 任务 。 这 两 种 构建 系统 都 有 Docker 的 插件 ， 都 可 以 使 用 类 似 编 
译 和 打包 代码 一 样 的 行为 ， 完 成 镜像 构建 和 镜像 推送 工作 。 











我 们 目前 的 测试 环境 只 有 一 个 容器 ， 但 是 ， 如 果 你 











尔 需 要 一 个 多 容器 环境 ， 可 以 使 用 


docker-compose 来 创建 多 容器 环境 ， 同 时 使 用 更 适合 的 测试 系统 (比如 Selenium) 来 替 





换 简 单 的 curWgrep。 你 也 可 以 在 Docker 容器 中 使 月 
Selenium 和 应 用 的 其 他 容器 统一 部 署 。 











日 Selenium， 通 过 docker-compose 将 


10.2 CI/CD: 使 用 Jenkins 和 Apache Mesos 构 


建 持续 交付 工作 流 


一 一 本 范例 由 Pini Reznik 提供 


10.2.1 问题 
你 希望 为 由 Docker 容器 组 成 的 应 用 程序 构建 一 个 持续 





交付 的 工作 流 。 
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10.2.2 解决 方案 


设置 一 个 Jenkins 持续 集成 服务 器 ， 如 果 应 用 程序 通过 测试 ， 则 可 以 将 应 用 程序 部 署 到 
Mesos 集群 上 。 

图 10-1 是 本 范例 中 将 会 使 用 的 环境 的 示意 图 。 我 们 的 目标 是 从 开发 环境 将 应 用 程序 打包 
为 Docker 镜像 ， 如 果 测 试 通过 ， 就 将 镜像 推送 到 Docker registry， 然 后 告诉 Marathon 在 
Mesos 中 对 应 用 程序 进行 调度 。 
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图 10-1: 使 用 Jenkins 和 Apache Mesos 的 持续 交付 工作 流 


本 范例 使 用 了 范例 10.1 中 的 例子 。 你 也 可 以 参考 范例 7.2 来 了 解 如 何 为 开发 构建 一 个 
Mesos 集群。 


首先 你 需要 设置 Jenkins 服务 器 。 最 简单 的 方法 是 使 用 下 面 的 Docker Compose 配置 文件 。 


jenkins: 
image: jenkins 
volumes: 
- jenkins-home:/var/jenkins_home 
ports: 
- "8080:8080" 


在 上 面 的 Docker Compose 配置 文件 中 定义 的 卷 用 于 持久 性 存储 ， 以 避免 构建 配置 信息 和 
数据 在 Jenkins 容器 每 次 重新 启动 后 丢失 。 而 容器 外 部 的 文件 夹 则 由 其 所 有 者 负责 备份 和 
维护 。 

通过 下 面 的 命令 启动 Docker Compose。 


$ docker-compose up 
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这 样 ， 你 就 得 到 了 一 个 可 以 工作 的 Jenkins 服务 器 ， 该 服务 器 在 http://localhost:8080 上 运行 。 


这 是 一 个 很 简单 的 任务 ， 但 不 幸 的 是 ， 它 并 没有 什么 用 处 。 因 为 你 还 需要 构建 一 个 镜像 ， 
并 将 你 的 应 用 程序 打包 进去 ， 然 后 从 新 构建 的 镜像 启动 容器 来 对 应 用 程序 进行 测试 。 在 标 
准 Docker 容器 中 不 可 能 完成 这 些 工 作 。 


为 了 解决 这 个 问题 ， 你 可 以 在 docker-compose.yml 文件 中 多 添加 两 行 ， 如 下 所 示 。 


jenkins: 
image: jenkins 
volumes: 
- jenkins-home:/var/jenkins_home 
- /var/run/docker.sock:/var/run/docker.sock 
- /usr/bin/docker:/usr/bin/docker 
ports: 
- "8080:8080" 


上 面 的 代码 增加 了 两 个 新 的 卷 ， 一 个 挂 载 了 Docker 的 socket 文件 ， 用 于 在 Docker 客户 端 
和 服务 器 之 间 进 行 通信 ， 另 一 个 卷 挂 载 了 Docker 可 执行 程序 作为 Docker 客户 端 。 这 样 一 
来 ， 你 就 可 以 在 Jenkins 容器 中 运行 Docker 命令 了 ， 这 些 命令 会 在 宿主 机 和 Jenkins 容器 
中 并 行 执行 。 

要 想 在 一 个 功能 完整 的 Jenkins 服务 器 中 运行 Docker 命令 ， 另 一 个 障碍 是 权限 问题 。 默 认 
情况 下 ， 只 有 root 用 户 或 者 docker 组 内 的 用 户 才 能 访问 /varrun/docker.sock 文件 。 默 认 
的 Jenkins 容器 通过 jenkins 用 户 启动 服务 器 。jenkins 用 户 不 属于 docker 用 户 组 ， 不 过 即 
使 jenkins 用 户 属于 容器 内 的 docker 用 户 组 ,仍然 不 能 访问 Docker socket， 因 为 宿主 机 和 
容器 中 的 组 ID 与 用 户 ID 并 不 一 致 (有 一 个 例外 就 是 root 用 户 ， 其 用 户 ID 总 是 0)。 


要 想 解 决 这 个 问题 ， 你 需要 使 用 root 用 户 来 启动 Jenkins 服务 器 。 
为 实现 上 述 目 的 ， 你 需要 在 docker-compose.yml 文件 中 添加 一 条 新 的 user 指令 ， 如 下 所 示 。 


jenkins: 
image: Jenkins 
user: root 
volumes: 
- jenkins-home:/var/jenkins_home 
- /var/run/docker.sock:/var/run/docker.sock 
- /usr/bin/docker:/usr/bin/docker 
ports: 
- "8080:8080" 


现在 Jenkins 服务 器 可 以 正常 工作 了 ， 你 可 以 开始 部 署 范 例 10.1 中 讲 过 的 Node.js 应 用 了 。 


在 Nodejs 的 范例 中 ， 你 已 经 有 了 用 于 构建 、 测 试 和 向 Docker registry 推送 镜像 的 脚本 。 现 
在 你 需要 添加 用 于 在 Mesos 中 进行 应 用 程序 调度 的 配置 文件 ， 使 用 Marathon 和 另外 的 脚 
本 来 部 署 应 用 程序 。 

我 们 将 用 于 在 Marathon 中 部 署 应 用 程序 的 配置 文件 命名 为 app_marathon.json， 如 下 所 示 。 


C 
"id": "app" 
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"container": { 
"docker": { 
"image": "localhost:5000/containersol/nodejs_app:latest", 
"network": "BRIDGE", 
"portMappings": [ 
{"containerPort": 8000, "servicepPort": 8000} 
] 
} 
}， 
"cpus": 0.2， 
"mem" : 512.0， 
"instances": 1 


} 


上 面 的 配置 使 用 了 我 们 应 用 程序 的 Docker 镜像 ， 并 且 会 使 用 Jenkins 来 构建 这 个 镜像 ， 然 
后 通过 Marathon 来 将 这 个 镜像 部 署 到 Mesos 上 。 这 个 文件 还 定义 了 应 用 程序 所 需要 的 资 
源 ， 也 可 以 包括 健康 检查 的 配置 。 


整个 配置 的 最 后 一 部 分 是 部 署 脚本 ， 这 个 脚本 也 会 在 Jenkins 中 执行 。 
deploy.sh : 








#!/bin/bash 
marathon=<Marathon URL> 


if [ -z "${1}" ]; then 
version="latest" 
else 
version="${1}" 


fi 





# 销毁 旧 的 应 用 程序 
curl -X DELETE -H "Content-Type: application/json" \ 
http://${marathon}:8080/v2/apps/app 














# 这 时 我 们 可 以 查询 Marathon, 直 到 应 用 程序 停止 
sleep 1 





# 下 面 这 些 行将 会 创建 一 个 app_marathon.json 文 件 的 副本 ， 
# 然后 更 新 镜像 版 本 。 由 于 在 Marathon 配 置 文件 不 支持 使 用 
# 变量 ,所 以 我 们 必须 这 样 来 修改 镜像 的 标签 

cp -f app_marathon.json app_marathon.json.tmp 

sed -i "s/latest/${version}/g" app_marathon.json.tmp 























# 将 应 用 提交 到 Marathon 

curl -X POST -H "Content-Type: application/json" \ 
http://${marathon}:8080/v2/apps \ 
-d@app_marathon.json.tmp 


现在 你 就 可 以 通过 docker-compose 命令 来 启动 Jenkins 服务 器 了， 然后 在 Jenkins 任务 配置 
中 定义 执行 步骤 。 图 10-2 显示 了 如 何 进行 设置 。 
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nodejs_app Conflg [Jenkins] - Mozilla Firefox 


县 nodejs app Config[... x* WW 





€ |@localhost:8080/jot ejs_app/configure vC| 国 » Google QQ 人 女 自 时 会 | 三 
Jenkins nodejs_app configuration 四 
Build Triggers 
Build after other projects are built 


Build periodically 


®©@ee 


Poll SCM 


Build 


Execute shell [a 





Command 
/test.sh ${BUILD 10} 
./push.sh ${BUILD ID 
./deploy.sh ${BUILD ID] 





./build.sh ${BUILD_ID} | 








Add bulld step ~ 











10-2: Jenkins 任务 界面 


10.2.3 ”讨论 


有 多 种 方式 可 以 用 来 解决 在 容器 内 启动 容器 的 问题 。 其 中 一 种 方式 是 ， 将 Docker socket 挂 
载 到 容器 中 来 实现 Docker 服务 器 与 客户 端 之 间 的 通信 。 其 他 的 方法 可 能 包括 直接 在 以 特 
权 模 式 启 动 的 容器 中 启动 容器 。 男 一 种 方式 是 将 Deore 服务 器 配置 为 接收 远程 API 调用 ， 
et te 沉 配 置 为 使 用 一 个 完整 的 URL 来 与 Docker 服务 器 进行 
通信 。 这 需要 配置 网 络 以 允许 在 服务 器 和 客户 归 人 


10.3 ELB: 使 用 confd 和 registrator 创 建 动态 负 
载 平 衡器 


10.3.1 问题 
你 想 建立 一 个 动态 负载 平衡 器 ， 当 容器 启动 或 者 停止 时 ， 能 够 动态 更 新 配置 。 


10.3.2 ”解决 方案 


我 们 的 解决 方案 会 使 用 registrator (用 于 进行 服务 发 现 ， 参 见 范例 7.13) 和 confd 
(https://github.com/kelseyhightower/confd)， 后 者 可 以 用 来 从 键 值 存储 中 获取 registrator 
所 需要 的 信息 ， 并 根据 模板 更 新 配置 文件 。 


为 了 演示 这 一 方案 ， 你 需要 构建 一 个 简单 的 单 节点 部 署 环境 。 这 是 一 个 简单 的 hostname 应 
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用 程序 ， 但 是 它 会 在 多 个 容器 中 运行 。 在 这 个 应 用 程序 的 容器 之 前 ， 会 放置 一 个 Nginx 负 
载 平 衡器 ， Poh ns 分 发 到 应 用 程序 的 容器 上 。 这 些 应 用 程序 的 容器 会 自动 注册 到 
Consul 键 值 存储 ， 这 由 registrator 来 实现 。 而 confd 则 会 从 Consul 拉 取 信息 ， 然 后 写 入 
Nginx 的 配置 文件 。 最 后 负 夫 平 器 ( 即 Nginx) 将 会 使 用 新 的 配置 文件 重启 。 图 10-3 是 
这 个 例子 的 示意 图 。 























Dock IT 主机 


Docker 守 护 进程 


gliderlabs/registrator -v 
/var/run/docker.sock:/tmp/docker.sock 


1p progrium/consul -p ! 
8500:8500 





eth0: 192.168.33.10 


网 络 











图 10-3: 动态 负载 平衡 原理 


作为 开始 ， 你 需要 重复 在 范例 7.3 中 介绍 的 步 又。 你 需要 在 一 个 容器 中 运行 基于 Consul 的 
键 值 存储 。 














在 生产 环境 中 ， 你 可 能 会 使 用 多 节点 键 值 存储 ， 并 与 应 用 程序 运行 在 不 同 的 
节 民 之 上 。 








你 可 以 通过 progrium/consul 镜像 来 完成 这 上 述 功能 ， 如 下 所 示 。 


$ docker run -d -p 8400:8400 -p 8500:8500 -p 8600:53/udp 
-h cookbook progrium/consul -server 
-bootstrap -ui-dir /ui 


然后 需要 启动 registrator 容器 ， 并 将 registry 的 URI 设置 为 consul://192.168.33.10:8500/elb。 
实际 上 ， 你 的 Docker 主机 的 IP 地 址 应 该 与 下 面 的 例子 不 同 。 
$ docker run -d -v /var/run/docker.sock:/tmp/docker.sock 


-h 192.168.33.10 gliderlabs/registrator 
-ip 192.168.33.10 consul://192.168.33.10:8500/elb 
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接着 ， 你 需要 启动 应 用 程序 。 拉 取 runseb/hostname 镜像 〈 这 是 一 个 简单 的 应 用 程序 )， 


会 返回 该 容器 的 了。 我 们 先 启 动 两 个 这 样 的 容器 ， 如 下 所 示 。 


$ docker run -d -p 5001:5000 runseb/hostname 
$ docker run -d -p 5002:5000 runseb/hostname 


如 果 检 查 一 下 Consul 的 界面 ， 你 会 发 现 这 两 个 容器 已 经 正确 注册 了 ， 
registrator， 如 图 10-4 所 示 。 














这 要 归 





将 


功 于 





(©: SERVICES NODES KEY/VALUE 
5 8 


ELB/HOSTNAME/ + 


192.168.33.10:adoring_hodgkin:5000 


192.168.33.10:sad_banach:5000 


elb/hostname/192.168.33.10:sad_banach:5000 


192.168.33.10:5001 


CANCEL DELETE KEY 








10-4: Consul 动态 负载 平衡 节点 





创建 一 个 Nginx 配置 文件 ， 作 为 这 两 个 应 用 程序 容器 的 负载 平衡 器 。 假 设 你 的 Docker 宿 


主机 的 卫 地址 是 192.168.33.10， 则 可 以 使 用 下 面 这 个 例子 。 


events { 
worker_connections 1024; 


} 


http { 
upstream elb { 
server 192.168.33.10:5001; 
server 192.168.33.10:5002; 
} 


server { 
listen 80; 
location / { 








proxy_pass http://elb; 


} 


接着 ， 启 动 Nginx 容器 ， 将 容器 的 80 端口 绑 定 到 宿主 机 的 80 端口 上 ， 并 将 配置 文件 挂 载 
到 容器 中 。 同 时 ， 为 这 个 容器 设置 一 个 名 称 以 方便 后 续 操 作 ， 如 下 所 示 。 


$ docker run -d -p 80:80 -v /home/vagrant/nginx.conf:/etc/nginx/nginx.conf 
--name elb nginx 


到 这 一 步 ， 你 已 经 设置 了 一 个 基本 负载 平衡 器 。Nginx 容器 向 宿主 机 公开 了 80 端口 ， 并 对 
两 个 应 用 程序 的 容器 进行 负载 平衡 。 如 果 你 使 用 curt 向 Nginx 容器 发 起 HTTP 请 求 ， 将 会 
得 到 两 个 应 用 容器 的 容器 ID。 结 果 看 起 来 如 下 所 示 。 

$ curl http://192.168.33.10 

8eaab9c31ela 

$ curl http://192.168.33.10 

a970ec6274ca 

$ curl http://192.168.33.10 

8eaab9c31ela 

$ curl http://192.168.33.10 

a970ec6274ca 


到 这 里 ， 除 了 容器 注册 之 外 ， 其 他 都 还 不 是 自动 完成 的 。 为 了 能 够 在 容器 启动 或 者 停止 时 
对 Nginx 重新 进行 配置 ， 你 需要 一 种 机 制 来 监视 Consul 的 键 ， 并 在 其 值 发 生变 更 时 ， 更 
新 Nginx 的 配置 文件 。 这 时 候 就 轮 到 confd (https://github.com/kelseyhightower/confd) 大 
展 身手 了 。 你 可 以 从 confd 在 GitHub 上 的 页 面 (https://github.com/kelseyhightower/confd/ 
releases) 下 载 confd 的 二 进 制 文件 。 

它 的 快速 入 门 指南 (https://github.com/kelseyhightower/confd/blob/master/docs/quick-start-guide 
md) 非常 不 错 。 但 是 我 们 只 会 涉及 一 些 基本 步骤 。 首 先 ， 让 我 们 创建 一 个 用 于 保存 配置 文 
件 模板 的 文件 夹 ， 如 下 所 示 。 

sudo mkdir -p /etc/confd/{conf.d,templates} 
接着 来 创建 一 个 资源 模板 resource config。 这 个 文件 用 来 告诉 confd 你 想 要 管理 的 配置 模 


板 的 位 置 ， 以 及 当 所 监控 的 值 发 生变 化 时 ， 将 配置 文件 写 入 到 哪里 。 在 /etc/confd/conf.d/ 
config.toml 文件 中 写 入 如 下 内 容 。 









































[template] 
src = "config.conf.tmpl" 
dest = "/home/vagrant/nginx.conf" 


keys = [ 


"/elb/hostname", 


] 


现在 让 我 们 编辑 Nginx 模板 文件 /etc/confd/templates/config.conf.tmpl。 这 些 模 板 都 是 Golang 
规则 的 模板 (http://golang.org/pkg/text/template/#pkg-overview)， 因 此 任何 在 Golang 模板 中 
可 以 使 用 的 语法 在 这 个 模板 中 都 可 以 使 用 。 
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events { 
worker_connections 1024; 


} 


http { 
upstream elb { 
{{range getvs "/elb/hostname/*"}} 
server {{.}}; 


{{end}} 
} 


server { 
listen 80; 


location / { 
proxy_pass http://elb; 
} 


} 
这 个 模板 是 一 个 最 简单 的 Nginx 负载 平衡 配置 文件 。 你 会 看 到 定义 为 elb 的 上 游 将 包含 将 
从 Consul 中 存储 的 键 /elb/hostname/ 中 提取 的 一 组 服务 器 。 
现在 你 的 模板 已 经 准备 就 绕 ， 让 我 们 试 一 下 confd 的 单 次 模式 。 也 就 是 说 ， 你 需要 手动 调 
用 confd， 并 指定 需要 使 用 的 后 端 服 务 (在 这 个 例子 中 为 Consul) ， 然 后 confd 将 会 写 入 文 
件 /home/vagrant/nginx.conf (通过 config.toml 文件 中 的 dest 项 定义 该 文件 位 置 )， 如 下 所 
小。 














5 ./confd -onetime -backend consul -node 192.168.33.10:8500 


由 于 在 前 面 启动 Nginx 容器 时 你 已 经 手动 编辑 了 nginx.conf 文件 ， 因 此 上 面 confd 生成 的 
配置 文件 内 容 将 与 手动 编辑 的 文件 一 模 一 样 。 现 在 就 让 我 们 再 启动 儿 个 新 容器 ， 并 再 次 运 
行 confd 命令 ， 如 下 所 示 。 

$ docker run -d -p 5003:5000 runseb/hostname 

$ ./confd -onetime -backend consul -node 192.168.33.10:8500 

... ./confd[832]: WARNING Skipping confd config file. 

... ./confd[832]: INFO /home/vagrant/nginx.conf has md5sum \ 

acf6552d92cb9eb79b1068cf40b8ecof should be 001894b713827404d0c5e72e2a66844d 


... ./confd[832]: INFO Target config /home/vagrant/nginx.conf out of sync 
... ./confd[832]: INFO Target config /home/vagrant/nginx.conf has been Updated 


你 会 看 到 confd 检测 到 配置 已 经 发 生变 化 ， 并 重新 生成 了 新 的 配置 文件 。 当 我 们 启动 新 的 
应 用 程序 容器 时 ，registrator 会 自动 将 其 注册 到 consuL，confd 就 能 检测 到 配置 的 变化 并 
重新 生成 配置 文件 。 由 于 你 通过 一 次 性 命令 来 重新 生成 了 配置 文件 ， 现 在 让 我 们 重新 启动 
Nginx 容器 ， 你 将 看 到 Nginx 容器 会 使 用 新 的 配置 (可 以 通过 挂 载 到 Nginx 容器 的 卷 来 访 
问 )， 如 下 所 示 。 

$ docker restart elb 

$ curl http://192.168.33.10 


a970ec6274ca 
$ curl http://192.168.33.10 


















































8eaab9c31ela 
$ curl http://192.168.33.10 
71d8297c1538 


剩 下 的 唯一 要 做 的 就 是 让 confd 在 守护 进程 模式 下 运行 ， 并 且 在 配置 发 生变 化 时 ， 重 启 
Nginx 容器 。 这 可 以 通过 编辑 /etc/confd/conf.d/config.toml 文件 ， 添 加 一 条 reload_cmd 指令 
来 重启 Nginx， 如 下 所 示 (假设 你 的 Nginx 容器 已 经 像 前 面 所 示 命 名 为 elb)。 


[template] 
src = "config.conf.tmpl" 
dest = "/home/vagrant/nginx.conf" 
keys = [ 
"/elb/hostname", 









































] 


reload_cmd = "docker restart elb" 


最 后 ， 在 守护 进程 模式 下 启动 confd。 为 了 方便 测试 ， 可 以 设置 一 个 很 小 的 从 Consul 拉 取 
信息 的 间隔 。 然 后 就 可 以 随意 启动 或 者 停止 应 用 程序 的 容器 了 。 你 将 会 看 到 ， 每 次 你 启动 
或 者 停止 、 终 止 一 个 应 用 程序 容器 时 ，confd 都 会 动态 更 新 你 的 配置 文件 并 重启 elb 容器 ， 
如 下 所 示 。 


$ ./confd -backend consul -interval 5 -node 192.168.33.10:8500 
./confd[1463]: WARNING Skipping confd config file. 
./confd[1463]: INFO /home/vagrant/nginx.conf has md5sum \ 
acf6552d92cb9eb79b1068cf40b8ec0f should be 001894b713827404d0c5e72e2a66844d 
./confd[1463]: INFO Target config /home/vagrant/nginx.conf out of sync 
./confd[1463]: INFO Target config /home/vagrant/nginx.conf has been updated 
./confd[1463]: INFO /home/vagrant/nginx.conf has md5sum \ 
001894b713827404d0c5e72e2a66844d should be cecb5ddc469ba3ef17f9861cde9d529a 
./confd[1463]: INFO Target config /home/vagrant/nginx.conf out of sync 
./confd[1463]: INFO Target config /home/vagrant/nginx.conf has been updated 
./confd[1463]: INFO /home/vagrant/nginx.conf has md5sum \ 
Cecb5ddc469ba3ef17f9861cde9d529a should be 0Qb97f157f437083ffba43f93a426d28f 
./confd[1463]: INFO Target config /home/vagrant/nginx.conf out of sync 
./confd[1463]: INFO Target config /home/vagrant/nginx.conf has been updated 


这 就 是 基于 Docker 的 动态 负载 平衡 。 为 了 让 它 更 具 弹 性 ， 你 需要 监视 这 些 容器 的 负载 ， 
并 自动 创建 新 的 容器 ， 新 容器 的 启动 也 会 触发 elb 配置 文件 的 重新 生成 。 


10.3.3 ”讨论 


本 范例 非常 长 且 包 含 很 多 步骤 。 为 了 方便 测试 ， 我 像 其 他 章节 一 样 ， 准 备 了 一 个 Vagrant 
镜像 ， 命 令 如 下 所 示 。 

$ git clone https://github.com/how2dock/docbook.git 

$ cd docbook/ch10/confd 


$ vagrant up 
$ vagrant ssh 


这 个 虚拟 机 启动 后 会 下 载 所 有 镜像 ， 你 可 以 直接 使 用 ， 如 下 所 示 。 


$ docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
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progrium/consul latest e66fb6787628 10 days ago 69.43 MB 
nginx latest 319d2015d149 3 weeks ago 132.8 MB 
runseb/hostname latest 7c9diddd2ceb 3 months ago 349.3 MB 
gliderlabs/registrator latest bic29d1a74a9 4 months ago 11.79 MB 


并 且 confd 配置 文件 也 已 经 保存 到 了 /etc/confd/conf.d/config.toml 和 /etc/confd/templates/ 


config.conf.tmp。 
你 只 需要 启动 这 些 容器 即 可 ， 如 下 所 示 。 


$ docker run -d -p 8400:8400 -p 8500:8500 -p 8600:53/udp 
-h cookbook progrium/consul -server 
-bootstrap -ui-dir /ui 
$ docker run -d -v /var/run/docker.sock:/tmp/docker .sock 
-h 192.168.33.10 gliderlabs/registrator 
-ip 192.168.33.10 consul://192.168.33.10:8500/elb 
$ docker run -d -p 80:80 -v /home/vagrant/nginx.conf:/etc/nginx/nginx.conf 
--name elb nginx 
$ docker run -d -p 5001:5000 runseb/hostname 
$ docker run -d -p 5002:5000 runseb/hostname 





你 可 以 通过 Docker Compose 来 启动 所 有 容器 (参见 范例 7.1)。 


然后 运行 confd， 如 下 所 示 。 
$ 


./confd -backend consuL -interval 5 -node 192.168.33.10:8500 


10.3.4 ”参考 


。 confd 快速 入 门 (https://github.conmy/kelseyhightower/confd/blob/master/docs/quick-start-guide.md) 


10.4 DATA: 使 用 Cassandra 和 Kubernetes 构 
建 兼容 S3 的 对 象 存储 


10.4.1 问题 
你 希望 构建 自己 的 兼容 S3 (http://aws.amazon.com/s3/) 的 对 象 存储 。 


10.4.2 ”解决 方案 

Amazon S3 是 领先 的 基于 云 的 对 象 存储 服务 。 由 于 S3 已 经 广泛 使 用 ， 一些 存储 后 端 已 经 
开发 了 兼容 S3 的 API 并 将 它们 放 到 存储 系统 前 端 : RiakCS (http://docs.basho.com/riakcs/ 
latest/) 、GlusterFS (http://www.gluster.org) 和 Ceph (http://ceph.com) 等 。 分 布 式 数据 库 











Apache Cassandra (http://cassandra.apache.org) 也 是 一 个 不 错 的 选择 ， 最 近 一 个 名 为 Pithos 
(http://pithos.io) 的 项 目 已 经 开始 基于 Cassandra 构建 一 个 兼容 S3 的 对 象 存储 软件 。 


这 特别 有 趣 ， 因 为 Cassandra 在 企业 级 被 广泛 使 用 。 但 是 对 Docker 来 说 ， 这 可 能 比较 具 
有 挑战 性 ， 因 为 你 需要 使 用 Docker 容器 构建 一 个 Cassandra 集群 。 值 得 庆幸 的 是 ， 有 了 
Kubernetes 这 样 的 集群 管理 工具 和 容器 编排 系统 ， 运 行 一 个 基于 Docker 的 Cassandra 集群 
已 经 比较 简单 了 。Kubernetes 官方 文档 也 提供 了 一 个 关于 如 何 运行 Cassandra 集群 的 例子 
(https://github.com/GoogleCloudPlatform/kubernetes/tree/master/examples/cassandra) 。 


因此 ， 为 了 构建 我 们 自己 的 S3 对 象 存储 ， 你 需要 在 Kubernetes 上 运行 一 个 Cassandra 集 
群 ， 并 将 Pithos 作为 前 端 来 提供 兼容 S3 的 API。 

















你 也 可 以 使 用 Docker Swarm 来 完成 同样 的 工作 。 








在 开始 之 前 ， 你 需要 先 有 一 个 Kubernetes 集群 。 最 简单 的 方式 是 使 用 Google 容器 引擎 
(参见 范例 8.10)。 如 果 你 不 想 使 用 Google 容器 引 敬 或 者 需要 学 习 一 下 Kubernetes， 可 以 参 
考 一 下 第 5 章 ， 你 将 会 学 习 到 如 何 部 署 自己 的 Kubernetes 集群 。 不 管 采用 哪 种 技术 ， 在 继 
续 之 前 ， 你 需要 能 使 用 kubectt 客户 端 来 列 出 集群 中 己 有 的 节点 ， 如 下 所 示 。 


$ ./kubectl get nodes 


NAME LABELS STATUS 
k8s-cookbook-935a6530-node-hsdb kubernetes.io/hostname=...-node-hsdb Ready 
k8s-cookbook-935a6530-node-mukh kubernetes.io/hostname=...-node-mukh Ready 
k8s-cookbook-935a6530-node-t9p8 kubernetes.io/hostname=...-node-t9p8 Ready 
k8s-cookbook-935a6530-node-ugp4 kubernetes.io/hostname=...-node-ugp4 Ready 


现在 一 切 准 备 就 结 ， 可 以 开始 构建 Cassandra 集群 了 。 你 可 以 直接 使 用 Kubernetes 自 带 的 
例 子 (https://github.com/GoogleCloudPlatform/kubernetes/tree/master/examples/cassandra), 
或 者 克隆 我 的 仓库 ， 如 下 所 示 。 


$ git clone https://github.com/how2dock/docbook.git 
$ cd docbook/ch05/examples 





由 于 Kubemetes 是 一 个 快速 演进 的 软件 ， 它 的 API 变化 得 也 很 快 。pod、 
replication controller 和 service 规范 文件 可 能 需要 根据 最 新 的 API 版 本 进行 调整 。 


然后 启动 Cassandra replication controller， 增 加 副本 数量 ， 并 启动 服务 ， 如 下 所 示 。 


$ kubectl create -f ./cassandra/cassandra-controller.yaml 
$ kubectl scale --replicas=4 rc cassandra 
$ kubectl create -f ./cassandra/cassandra-service.yaml 
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当 镜 像 下 载 完成 之 后 ， 你 的 Kubernetes pod 将 会 进入 运行 状态 。 需 要 注意 的 是 ， 当 前 使 用 
的 镜像 来 自 Google 的 registry。 这 是 由 于 这 个 镜像 包含 了 Cassandra 配置 中 指定 的 发 现 类 。 
你 也 可 以 使 用 Docker Hub 上 的 Cassandra 镜像 ， 但 是 必须 要 将 这 个 Java 类 放 到 Cassandra 
镜像 中 ， 让 Cassandra 节点 能 彼此 互相 发 现 。 修 改 副本 数量 可 以 让 你 对 Cassandra 集群 进行 
扩展 ， 启 动 一 个 服务 可 以 让 你 为 Cassandra 集群 公开 一 个 DNS 端点 。 


确认 指定 数量 的 pod 是 否 正在 运行 ， 如 下 所 示 。 
$ kubectl get pods --selector="name=cassandra" 


当 Cassandra 发 现 所 有 市 点 并 进行 数据 库存 储 的 再 平衡 之 后 ， 你 将 会 看 到 类 似 下 面 的 结果 。 
(这 取决 于 你 所 设置 的 副本 数量 ， 并 且 HOST ID 也 可 能 不 一 样 。) 


$ ./kubectL exec cassandra-5f709 -c cassandra nodetool status 
Datacenter: datacenter1 


Status=Up/Down 
|/ State=Normal/Leaving/Joining/Moving 

















Address Load Tokens Owns (effective) Host ID Rack 
UN 10.16.2.4 84.32 KB 256 46.0% 8a0c8663-074f-4987... rackl 
UN 10.16.1.3 67.81 KB 256 53.7% 784c8f4d-7722-4d16... rackl 
UN 10.16.0.3 51.37 KB 256 49.7% 2f551b3e-9314-4f12... rack1 
UN 10.16.3.3 65.67 KB 256 50.6% a746b8b3-984f-4ble... rack1 











你 可 以 使 用 kubectL logs 命令 来 方便 地 查看 pod 中 容器 的 日 志 。 











你 已 经 拥有 了 一 个 可 以 正常 工作 的 Cassandra 集群 ， 现 在 可 以 准备 启动 Pithos 了 ，Pithos 提 
供 了 一 个 兼容 S3 的 API， 并 且 使 用 Cassandra 作为 对 象 存 储 。 


Pithos 是 一 个 守护 程序 ， 为 Cassandra 集群 提供 一 个 兼容 S3 的 前 端 。 因 此 ， 如 果 你 在 
Kubernetes 集群 中 运行 一 个 Pithos， 并 且 指 向 了 同 在 Kubernetes 集群 中 运行 的 Cassandra 集 
群 ， 那 么 就 可 以 提供 一 套 兼容 S3 的 接口 。 

为 此 ， 我 在 Docker Hub 上 创建 了 一 个 Pithos 的 Docker 镜像 runseb/pithos。 这 是 一 个 自动 
构建 的 Docker 镜像 ， 因 此 你 可 以 看 到 该 镜像 的 Dockerfile。 这 个 镜像 包括 一 个 默认 的 配置 
文件 。 你 需要 修改 这 个 配置 文件 中 的 访问 密 钥 和 存储 桶 存储 定义 。 

现在 你 可 以 通过 Kubernetes replication controller 来 启动 Pithos 了 ， 并 可 以 通过 在 GCE 上 创 
建 的 外 部 负载 平衡 器 来 公开 服务 。Pithos 可 以 通过 DNS 找到 之 前 启动 的 Cassandra 服务 。 
但 是 ， 你 还 需要 设置 对 象 存储 的 数据 库 模 式 。 这 是 通过 一 个 引导 过 程 完 成 的 。 要 完成 此 操 
作 ， 你 需要 运行 一 个 不 会 重启 的 pod 来 在 Cassandra 中 安装 Pithos 数据 库 模式 。 使 用 之 前 
克隆 的 example 目录 下 的 YAML 文件 ， 如 下 所 示 。 


$ kubectl create -f ./pithos/pithos-bootstrap.yaml 





























等 待 引导 过 程 的 完成 ( 即 pod 变 为 succeed 状态 ) 。 然 后 启动 replication controller。 到 目前 
为 止 ， 你 将 只 启动 一 个 副本 。 使 用 replication controller 可 以 轻松 地 挂 载 一 个 服务 并 通过 一 





个 公 网 IP 地 址 来 对 外 公开 这 个 服务 。 


$ kubectl create -f ./pithos/pithos-rc.yaml 

$ kubectl create -f ./pithos/spithos.yaml 

$ ./kubectl get services --selector="name=pithos" 

NAME LABELS SELECTOR IP(S) PORT(S) 

pithos name=pithos name=pithos 10.19.251.29 8080/TCP 
104.197.27.250 





IP 地 址 。 





在 由 Kubernetes 负责 管理 的 Docker 容器 中 运行 。 茶 喜 你 | 


10.4.3 ”讨论 





由 于 Pithos 默认 会 绑 定 到 8080 端口 ， 所 以 请 确保 你 在 防火 墙 上 打开 了 负载 平衡 器 的 公 网 


当 Pithos 进入 运行 状态 ， 你 就 得 到 了 一 个 基于 Cassandra 的 兼容 S3 的 对 象 存 储 服务 ， 并 且 


这 个 例子 非常 有 趣 ， 但 是 你 需要 能 够 使 用 它 ， 并 确认 它 是 真 的 兼容 S3。 为 此 ， 你 可 以 使 用 





一 些 常 见 的 S3 实用 工具 ， 比 如 s3cmd 或 boto。 
比如 ， 你 可 以 安装 s3cmd (http:/s3tools.org/s3cmd) ， 并 创建 一 个 如 下 所 示 的 配置 文件 。 


$ cat ~/.s3cfg 

[default] 

access_key = AKIAIOSFODNN7EXAMPLE 
secret_key = wjJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY 
check_ssl_certificate = False 
enable_multipart = True 

encoding = UTF-8 

encrypt = False 

host_base = s3.example.com 

host_bucket = %(bucket)s.s3.example.com 
proxy_host = 104.197.27.250 

proxy_port = 8080 

server_side encryption = True 
signature_v2 = True 

use_https = False 

verbosity = WARNING 


将 上 面 的 proxy_host 赫 换 为 你 的 Pithos 服务 外 部 负载 平衡 器 的 实际 卫 地 址 。 























(https://github.com/runseb/pithos) 中 的 默认 值 ， 你 需要 修改 这 些 设置 。 











这 个 例子 使 用 了 一 个 没有 加 密 的 代理 。 而 且 访 问 密 钥 也 是 存储 在 Dockerfile 


有 了 上 面 的 配置 文件 ， 现 在 就 可 以 使 用 s3cmd 来 创建 用 于 存储 数据 的 存储 桶 了 ， 如 下 所 示 。 











$ s3cmd mb s3://foobar 
Bucket 's3://foobar/' created 
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$ s3cmd ls 
2015-06-09 11:19 s3://foobar 


如 果 你 想 在 Python 中 使 用 Boto (https://github.com/boto/boto3)， 下 面 的 代码 也 能 正常 工作 。 


#!/usr/bin/env python 














from boto.s3.key import Key 
from boto.s3.connection import S3Connection 
from boto.s3.connection import OrdinaryCallingFormat 


apikey= 'AKIAIOSFODNN7EXAMPLE 
secretkey='w]JaLrXUtnFEMI/K7MDENG/bPxRfiLCYEXAMPLEKEY， 


cf=OrdinaryCallingFormat() 


conn=S3Connection(aws_access_key_id=apikey, 
aws_secret_access_key=secretkey, 
is_secure=FaLse,host='104.197.27.250 ' ， 
port=8080 ， 
calling_format=cf) 


conn.create_bucket( 'foobar') 


这 就 是 本 范例 的 所 有 内 容 。 这 些 步 骤 听 起 来 可 能 很 多 ， 但 在 有 Docker 之 前 ， 你 不 可 能 这 
么 轻松 就 能 运行 一 个 S3 对 象 存 储 服务 。 是 Docker 真正 让 运行 分 布 式 应 用 变 得 轻而易举 。 











10.5 DATA: 使 用 Docker Network 构 建 MySQL 
Galera 集 群 


10.5.1 问题 


你 想 使 用 新 的 Docker Network (参见 范例 3.14) 功能 构建 一 个 基于 两 台 Docker 主机 的 
MySQL Galera 集群 。Galera 是 一 个 多 主 节 点 的 高 可 用 MySQL 数据 库 解决 方案 。 


10.5.2 ”解决 方案 


我 们 已 经 在 范例 3.14 中 介绍 过 了 Docker Network， 可 以 使 用 Docker Network 基于 VXLAN 
协议 来 构建 跨越 多 台 Docker 主机 的 覆盖 网 络 。 履 盖 网 络 非常 适合 用 来 为 容器 分 配 在 同一 
个 可 路 由 子 网 内 的 了 下地 址 ， 以 及 通过 更 新 每 个 容器 中 的 /etc/hosts 文件 来 进行 名 称 解 析 。 
因此 在 同一 个 覆盖 网 络 中 运行 的 所 有 容器 都 可 以 通过 容器 名 来 互相 访问 。 


这 大 大 地 简化 了 跨 主 机 的 网 络 问题 ， 同 时 也 使 得 很 多 已 有 的 基于 单 台 主机 的 方案 在 多 主机 
的 环境 下 也 能 继续 使 用 。 
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在 本 书 编写 之 际 ，Docker Network 还 只 能 在 实验 预 发 布 的 Docker 二 进 制程 序 
( 即 1.8.0-dev) 中 使 用 。 在 1.9 中 Docker Network 应 该 就 可 以 使 用 了 。 将 来 
也 可 能 不 再 需要 使 用 Consul 服务 。 




















为 了 在 两 台 Docker 主机 上 构建 Galera (http://galeracluster.com) 集群 ， 你 需要 在 每 台 
主机 上 安装 实验 版 的 Docker 二 进 制程 序 。 然 后 你 需要 按照 博客 文章 http://galeracluster. 
com/2015/05/getting-started-galera-with-docker-part-1/ 里 的 步骤 进行 操作 。 本 范例 采用 了 与 
范例 3.14 相同 的 配置 。 你 需要 在 每 台 Docker 主机 上 启动 多 个 来 自 Docker Hub 的 erkules/ 
galera:basic 容器 。 


按照 惯例 ， 让 我 们 从 本 书 附带 仓库 中 的 Vagrant 虚拟 机 开始 ， 如 下 所 示 。 


$ git clone https://github.com/how2dock/docbook.git 
$ cd docbook/ch1i0/mysqlgalera 

$ vagrant up 

$ vagrant status 

Current machine states: 











consul-server running (virtualbox) 
mysql-1 running (virtualbox) 
mysql-2 running (virtualbox) 


主机 consul-server 是 现在 Docker Network 所 必需 的 ， 但 是 将 来 可 能 会 发 生变 化 。 现 在 我 
们 将 这 人 台 Consul 服务 器 用 作 一 个 键 值 存储 ， 每 台 主 机 上 的 Docker 引擎 使 用 Consul 来 存储 
各 主机 的 信息 。 作 为 提醒 ， 请 检查 一 下 Vagrantfile 文件 中 启动 时 所 设置 的 DOCKER_OPTS 选 
项 ， 你 会 看 到 我 们 也 定义 了 一 个 名 为 muttihost 的 默认 覆盖 网 络 。 


当 所 有 虚拟 机 都 局 动 完 成 之 后 ， 请 通过 ssh 到 第 一 台 主 机 使 用 erkules/galera:basic 镜像 启动 
Galera 集群 中 的 第 一 个 节点 。 可 以 通过 官方 的 参考 (http://galeracluster.com/2015/05/getting- 
started-galera-with-docker-part-1/) 来 了 解 一 下 用 于 构建 该 镜像 的 Dockerfile 文件 内 容 。 


让 我 们 来 启动 Galera 集群 ， 如 下 所 示 。 


$ vagrant ssh mysql-1 
$ docker run -d --name nodel -h nodel1 erkules/galera:basic \ 
--WSsrep-CLuster-name=LocaL-test \ 
--wsrep-cluster-address=gcomm:// 


再 到 mysql-2 主机 中 启动 另外 两 个 Galera 节点 。 请 注意 ， 你 使 用 节点 名 nodel 作为 集群 的 
地 址 。 这 之 所 以 会 正常 工作 ， 是 因为 Docker Network 会 自动 更 新 /etc/hosts 中 的 记录 ， 该 
文件 会 包括 nodel1、node2 和 node3 节点 的 由 于 这 三 个 容器 都 在 同一 个 覆盖 网 络 
中 ， 它 们 可 以 直接 互相 通信 ， 而 不 需要 通过 端口 映射 、 容 器 链接 或 者 更 复杂 的 网 络 设 置 ， 
如 下 所 示 。 

$ vagrant ssh mysql-2 

$ docker run --detach=true --name node2 -h node2 erkules/galera:basic \ 


--WSsrep-CLuster-name=LocaL-test \ 
--Wwsrep-cluster-address=gcomm://nodel 
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$ docker run --detach=true --name node3 -h node3 erkules/galera:basic \ 
--WSsrep-CLuster-name=LocaL-test \ 
--wsrep-cluster-address=gcomm://nodel 


现在 回 到 虚拟 机 mysql-1， 你 会 看 到 经 过 很 短 的 一 段 时 间 之 后 ， 在 mysql-2 上 启动 的 两 个 集 
群 市 点 已 经 加 入 到 集群 中 ， 如 下 所 示 。 


$ docker exec -ti nodel mysqL -e 'show status like "wsrep_cluster_size"! 








+-------------------- +------- + 
| Variable_name | Value | 
+-------------------- +------- + 
| wsrep_cluster_size | 3 | 
+-------------------- +------- + 





确实 ， 在 nodel 容器 的 /etc/hosts 文件 中 ， 已 经 增加 了 另外 两 个 集群 节点 的 卫 地址 记录 。 
$ docker exec -ti nodel cat /etc/hosts 


172:21:0.; 


0.6 node1.muLtihost 
172.21.0.6 nodel 
172.21.0.8 node2 
172.21.0.8 node2.muLtihost 
172.21.0.9 node3 
172.21.0.9 node3.multihost 


本 范例 很 有 趣 ， 因 为 通过 使 用 Docker Network， 你 可 以 在 多 台 Docker 主机 之 间 使 用 与 单 台 
Docker 主机 完全 相同 的 部 署 方 法 。 





10.5.3 ”讨论 
尝试 添加 更 多 的 Galera 节点 ， 然 后 终止 其 中 的 一 些 节点 ， 你 就 会 看 到 集群 的 大 小 也 会 随 之 变化 。 














10.5.4 ”参考 


。 在 单 台 Docker 主机 上 构建 Galera 集群 (http://galeracluster.com/2015/05/getting-started- 

galera-with-docker-part-1/) 

。 在 多 台 Docker 主机 上 构建 Galera 集群 (http://galeracluster.com/2015/05/getting-started- 
galera-with-docker-part-2-2/) 


10.6 DATA: 以 动态 方式 为 MySQL Galera 集 群 
配置 负载 平衡 器 


10.6.1 问题 

范例 10.5 充分 利用 了 Docker Network 功能 创建 了 覆盖 网 络 ， 在 两 台 Docker 主机 上 构建 了 
一 个 多 节点 的 Galera 集群 。 现 在 你 希望 对 负载 平衡 器 进行 自动 配置 ， 将 负载 分 发 到 Galera 
集群 的 不 同 节 点 。 


任 











10.6.2 ”解决 方案 


喝 用 与 范例 10.3 相同 的 配置 。 使 用 registrator 将 MySQL 节点 以 动态 方式 注册 到 键 值 存 
峙 ， 比 如 Consul， 使 用 confd 来 管理 一 个 nginx 模板 ， 将 负载 分 散 到 Galera 集群 节点 上 。 
图 10-5 描述 了 一 个 使 用 Docker Network 的 两 节点 方案 ，registrator 在 每 个 节点 上 运行 ， 
用 于 发 布 服 务 ，Nginx 在 其 中 一 个 节点 上 运行 ， 用 于 在 这 些 节 点 之 间 进 行 负 载 平衡 。 
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10-5: Galera 集群 的 动态 负载 平衡 

在 每 个 节点 上 都 运行 registrator， 并 指向 在 192.168.33.10 这 台独 立 VM 之 上 运行 的 
Consul 服务 地 址 ， 使 用 erkules/galera:basic 镜像 启动 Galera 集群 中 最 初 的 两 个 节点 。 

在 下 地址 为 192.168.33.11 的 mysql-1 主 机 上 执行 下 面 的 命令 。 


$ docker run -d -v /var/run/docker.sock:/tmp/docker .sock 
gliderlabs/registrator 
-tp 192.168.33.11 consul://192.168.33.10:8500/galera 
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$ docker run -d --name nodel 
-h nodel erkules/galera:basic 
--WSsrep-CLuster-name=LocaL-test --wsrep-cluster-address=gcomm:// 


在 卫 地 址 为 192.168.33.12 的 mysql-2 主机 上 执行 下 面 的 命令 。 


$ docker run -d -v /var/run/docker.sock:/tmp/docker .sock 
gliderlabs/registrator 
-tp 192.168.33.12 consul://192.168.33.10:8500/galera 
$ docker run -d --name node2 
-h node2 erkules/galera:basic 
--WSsrep-CLuster-name=LocaL-test --wsrep-cluster-address=gcomm://nodel 


创建 一 个 Nginx 的 配置 文件 ， 作 为 这 两 个 应 用 程序 的 负载 平衡 器 。 假 设 你 想 让 这 个 负载 平 
衡器 在 IP 地址 192.168.33.11 上 运行 ， 可 以 使 用 下 面 的 例子 。 


events { 
worker_connections 1024; 





























} 
http { 
upstream galera { 
server 192.168.33.11:3306; 
server 192.168.33.12:3306; 
} 
server { 
listen 80; 
location / { 
proxy_pass http://galera; 
} 
} 





接 下 来 启动 你 的 Nginx 容器 ， 将 容器 的 80 端口 绑 定 到 宿主 机 的 80 端口 上 ， 并 将 配置 文件 
生 载 到 容 嚣 中。 同时， 为 容器 设置 一 个 名 称 ， 这 会 方便 以 后 对 该 容器 进行 管理 ， 如 下 所 示 。 


$ docker run -d -p 3306:3306 -v /home/vagrant/nginx.conf:/etc/nginx/nginx.conf 
--name galera nginx 


确认 一 下 你 的 负载 平衡 器 是 否 能 正常 工作 。 你 可 以 回顾 一 下 范例 10.3， 使 用 该 范例 中 介绍 
的 方法 进行 验证 。 len eg en i 
置 文件 模板 。 


10.7 DATA: 构建 Spark 集 群 








10.7.1 问题 


你 正在 寻找 一 个 能 够 并 行 工 作 、 快 速 计算 并 访问 大 型 数据 集 的 数据 处 理 引 擎 。 你 选择 
Apache Spark (http:/spark.apache.org) ， 并 想 以 容器 方式 部 署 Spark。 

















10.7.2 ”解决 方案 


Apache Spark (http://spark.apache.org) 是 一 个 非常 快 的 数据 处 理 引 擎 ， 支 持 大 规模 (有 很 
多 工作 节点 ) 集群 ， 能 对 海量 数据 进行 处 理 。Spark 支持 Java、Scala、Python 和 R 语言 编 
程 接 口 ， 是 一 个 通过 编程 解决 复杂 数据 处 理 问题 的 伟大 工具 。 

Spark 集群 可 以 在 Kubernetes (https://github.com/GoogleCloudPlatform/kubernetes/tree/master/ 
examples/spark) 集群 上 进行 部 署 ， 不 过 随 着 Docker Network 的 发 展 ，Kubernetes 上 的 部 署 
流程 也 可 以 用 于 Docker Network 之 上 。 实 际 上 ，Docker Network (参见 范例 3.14) 会 构建 
一 个 隔离 的 、 跨 越 多 台 Docker 主机 的 网 络 ， 管 理 简 单 的 名 称 解析 ， 并 对 外 公开 服务 。 


因此 ， 要 部 署 一 个 Spark 集群 ， 你 需要 使 用 Docker Network 并 进行 如 下 操作 。 


。 使 用 Google registry 的 镜像 启动 一 个 Spark 主 节 点 ，Google registry 在 Kubernetes 例子 
中 已 经 见 过 了 。 

。 启动 一 组 Spark 工作 节点 ， 这 些 节点 的 镜像 基于 Google registry 的 镜像 (https://registry. 
hub.docker.comy/u/runseb/spark-worker) ， 并 做 了 简单 修改 。 

Spark 工作 镜像 的 启动 脚本 将 Spark 主 节点 的 端口 硬 编码 为 7077， 而 并 没有 使 用 Kubernetes 

设置 的 环境 变量 。 这 个 镜像 可 以 在 Docker Hub (https://registry.hub.docker.com/u/runseb/ 

spark-worker/) 上 找到 ， 你 可 以 参考 一 下 GitHub (https://github.com/runseb/spark-docker) 

上 的 启动 脚本 。 

让 我 们 先 局 动 主 节点 ， 请 确保 你 已 经 将 主机 名 设置 为 spark-master， 如 下 所 示 。 


$ docker run -d -p 8080:8080 --name spark-master -h spark-master gcr.io/ \ 
google_containers/spark-master 


接着 让 我 们 来 创建 三 个 Spark 工作 节点 。 实 际 上 ， 你 也 可 以 创建 更 多 的 工作 节点 ， 不 过 需 
要 确保 这 些 节 点 都 位 于 同一 个 Docker Network 之 中 ， 如 下 所 示 。 














为 了 防止 你 的 节点 和 (或 ) 容器 崩溃 ， 需 要 限制 一 下 为 每 个 Spark 工作 节点 
容器 分 配 的 内 存 限 额 。 此 设置 可 以 通过 docker run 的 -m 选项 来 完成 。 





$ docker run -d -p 8081:8081 -m 256m --name worker-1 runseb/spark-worker 
$ docker run -d -p 8082:8081 -m 256m --name worker-2 runseb/spark-worker 
$ docker run -d -p 8083:8081 -m 256m --name worker-3 runseb/spark-worker 





你 可 能 已 经 注意 到 ， 你 已 暴露 主机 上 Spark 主 节 点 容器 的 8080 端口 。 这 样 你 就 可 以 访问 
Spark 主 节 点 Web 界面 了 。 只 要 Spark 主 节 点 容器 在 运行 ， 你 就 可 以 访问 此 Web 界面 。 当 
Spark 工作 节点 都 在 线 之 后 ， 你 会 在 仪表 盘 中 看 到 这 些 工 作 节 点 ， 如 图 10-6 所 示 。 
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Spaik: ,Spark Master at spark://spark-master:7077 


URL: spark://spark-master:7077 

REST URL: spark://spark-master:6066 (cluster mode) 
Workers: 3 

Cores: 3 Total, 3 Used 

Memory: 2.9 GB Total, 1536.0 MB Used 
Applications: 1 Running, 0 Completed 

Drivers: 0 Running, 0 Completed 


Status: ALIVE 

Workers 
Worker Id Address State Cores Memory 
worker-20150719093848-172.21.0.3-47174 172.21.0.3:47174 ALIVE 1 (1 Used) 977.0 MB (512.0 MB Used) 
worker-20150719093853-172.21.0.6-50122 172.21.0.6:50122 ALIVE 1 (1 Used) 977.0 MB (512.0 MB Used) 
worker-20150719095004-172.21.0.11-51070 172.21.0.11:51070 ALIVE 1 (1 Used) 977.0 MB (512.0 MB Used) 


Running Applications 


Application ID Name Cores Memoryper Node Submitted Time User State Duration 

app-20150719095145-0000 (ki PySparkShell 3 512.0 MB 2015/07/19 09:51:45 root RUNNING 5.4min 
Completed Applications 

Application ID Name Cores Memory per Node Submitted Time User State Duration 











图 10-6: Spark 主 节 点 UI 


这 就 是 全 部 工作 了 。 这 种 部 署 的 方便 之 处 在 于 Spark 工作 节点 使 用 主机 名 spark-master 来 
连接 主 节 点 。 由 于 Docker Network 负责 管理 名 称 解 析 ， 所 以 每 个 容器 都 会 自动 获得 主 节 点 














的 卫 地 址 ， 并 连接 到 主 节 点 。 


10.7.3 ”讨论 
如 果 你 检查 一 下 已 经 发 布 的 网 络 服务 ， 











你 会 发 现 你 的 四 个 容器 


都 在 multihost 网 络 上 ( 即 


spark-master、worker-1、worker-2 和 worker-3)。 人 但是， 由 于 你 也 发 布 了 主 节点 的 Web 





界面 服务 ， 所 以 每 个 容器 也 都 被 连接 到 了 bridge 网 络 上 。 在 下 














看 的 例子 中 ， 你 只 能 看 到 工 











作 节 点 的 容器 在 bridge 网 络 上 ， 这 是 因为 Spark 主 节 点 并 没有 在 运行 该 命令 的 主机 上 运行 。 























如 果 你 在 运行 Spark 主 节点 的 主机 上 执行 下 
bridge 网 络 。 


$ docker service ls 


看 的 命令 ， 就 会 看 到 spark-master 也 连接 到 了 


由 于 公开 了 Spark 工作 节点 的 Web 界面 的 端口 ， 


SERVICE ID NAME NETWORK CONTAINER 

92e90b6556b5 worker-1 bridge ba80b36e5abc 
1831b9378d37 worker-2 bridge clc8bec01a2a 
bc64584793df worker-3 bridge f7be3797affb 
2bbe00afc559 worker-1 multihost ba80b36e5abc 
7be77369a0ac worker-2 multihost clc8bec01a2a 
3a576b7233b6 worker-3 multihost f7be3797affb 
e3c75728c402 spark-master multihost fa44cce982df 


10-7 显示 了 该 工作 节点 上 一 个 已 经 完成 的 任务 。 


你 也 可 以 通过 浏览 器 来 访问 这 个 界 
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Spa ,0 Spark Worker at 172.21.0.3:47174 


ID: worker-20150719093848-172.21.0.3-47174 
Master URL: spark://spark-master:7077 
Cores: 1 (1 Used) 

Memory: 977.0 MB (512.0 MB Used) 


Back to Master 


Running Executors (1) 


ExecutoriD Cores State Memory Job Details Logs 

3 1 LOADING 512.0 MB ID: app-20150719095145-0000 stdout stderr 
Name: PySparkShell 
User: root 


Finished Executors (1) 


ExecutoriD Cores State Memory Job Details Logs 

1 1 EXITED 512.0 MB ID: app-20150719095145-0000 stdout stderr 
Name: PySparkShell 
User: root 











图 10-7: Spark 工作 节点 UI 





图 中 仪表 盘 显 示 的 任务 是 运行 Spark shell (https://spark.apache.org/docs/latest/quick-start. 
html) 的 结果 ， 这 是 开始 学 习 Spark 和 在 容器 化 的 Spark 集群 中 运行 任务 的 快速 方法 。 你 
也 可 以 通过 其 他 交互 式 容器 来 运行 这 个 Spark shell， 如 下 所 示 。 

$ docker run -it gcr.io/googLe_containers/spark-base 

root@ac912dd21619:/# . ./setup_client.sh spark-master 7077 


root@ac912dd21619:/# pyspark 
Python 2.7.9 (default, Mar 1 2015, 12:57:24) 





WeLcome to 


人/ 一/ 广 
2 
/_/._/\,////\\ version 1.4.0 
/_/ 


>>> 


由 于 Libnetwork 更 新 比较 频繁 ，Spark 主 节点 和 工作 节点 之 间 的 网 络 连接 可 
能 会 不 太 可 靠 。 服 务 发 布 机 制 也 可 能 会 发 生变 化 。 你 应 该 把 这 看 作 是 一 个 进 
化 中 的 例子 ， 而 不 是 一 个 可 以 在 生产 环境 下 使 用 的 部 署 方案 。 如 果 遇 到 什么 
问题 ， 别 忘 了 使 用 docker logs -f <container_id> 查看 容器 的 日 志 。 




















10.7.4 ”参考 


。 本 范例 参考 了 Kubernetes Spark 的 示例 (https://github.com/GoogleCloudPlatform/kubernetes/ 
tree/masterexamples/spark) 
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